Архив рубрики: Публикации

Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7

Авторская версия

Все, кто занимается безопасностью в любом ее проявлении, рано или поздно сталкивается с вопросом – «А вы в состоянии обеспечить стопроцентную безопасность?» Чаще всего его задает кто-то очень высокой должности, задает прилюдно, на большом совещании, ожидая от вас четкого и однозначного ответа.

Если ответить отрицательно, то ваши потребности сразу потеряют актуальность на многие годы. Зачем давать деньги тем, кто не может ничего обеспечить 24/7? Берите пример с ИТ подразделений, у них все системы на пять девяток!

Если ответить утвердительно, то, после уточнения, какой бюджет вам необходим, небольшого секвестрования, семи кругов согласования и реализации, вы начнете нести персональную ответственность за все возможные инциденты. Неплохой вариант на время, если вы планируете сменить работу в ближайшие год-два.

Куда не кинь, всюду клин. Давайте рассмотрим, как прервать цепочку реализации инцидента и приблизиться к заветным цифрам обеспечения безопасности 24/7. Для этого нам необходимо определиться с ключевыми элементами данной цепочки.

Активы

Те из нас, кто работает в состоятельных компаниях, способных тратить значительные суммы на безопасность, могут попробовать защитить все активы. Остальным же в первую очередь необходимо провести их инвентаризацию (объектов защиты). Каждый телефон и компьютер учитывать не обязательно, хотя бы выделить секторы.

После проведения инвентаризации необходимо провести ранжирование объектов защиты. Самый наглядный, но трудоемкий способ – по финансовому ущербу. Если у нас украдут список клиентов, то мы потеряем 100 миллионов рублей, а если колесо со склада – то 20 тысяч.

В качестве альтернативы можно использовать любые критерии: влияние на бизнес-процессы, величина простоя в днях, восполнимость актива, частота использования и многое другое.

После ранжирования необходимо сделать отсечку, какие активы защищаем всеми силами, а какие «как получится». Например, все, что дороже 1 миллиона рублей, должно быть защищено.

Угрозы

Здесь и далее мы будем ставить знак равенства между угрозой и риском. Классическое определение риска гласит:

Риск (от лат. resecō — «отсекать», «сокращать» или др.-греч. ῥιζικόν — «опасность») — сочетание вероятности и последствий наступления неблагоприятных событий.

А его формулу записывают так: Величина риска = вероятность события * размер ущерба

Таким образом, под угрозой мы будем понимать вероятностные действия, причиняющие ущерб объектам защиты.

Зная наши активы, мы теперь можем составить карту угроз для каждого актива. Она может выглядеть, например, так:

На данном этапе не требуется составлять подробную карту угроз. Достаточно понимать основные методы воздействия на актив. Угрозы можно разделить на два больших класса – антропогенные (реализуемые человеком) и не антропогенные (реализуемые без участия человека). С не антропогенными угрозами все более или менее понятно – сюда относятся стихийные бедствия, техногенные аварии, случайности. С антропогенными угрозами все несколько сложнее, т.к. в них появляется переменная величины – злоумышленник. Существует большая и развернутая теория классификации злоумышленников, их типов и видов. Для нашей цели достаточно понимать мотивы злоумышленника:

  • финансовый интерес;
  • межличностные интересы;
  • доминантность.

К первой категории относится 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику.

«Вершиной» мотивов является доминирование, когда те или иные действия совершаются «просто потому, что я могу». Например, обесточивание целого здания.

Определившись с нарушителями, мы можем дополнить нашу карту угроз:

Таким образом, мы точно узнаем цепочку событий от угрозы до инцидента:

Рисунок 1. Цепочка событий от угрозы до ущерба

Теперь давайте разберемся с тем, как ее прервать.

Обнаружение

В нашей цепочке ключевым является последний пункт – ущерб. Т.е. инциденты, приводящие к финансовым потерям, должны обнаруживаться и предотвращаться. Также обнаруживаться должны все неудачные попытки причинить ущерб, т.е. свершенные угрозы, которые не нанесли ущерба по каким-либо причинам.

Для обнаружения инцидентов необходимо выполнить ряд шагов:

  1. Заручиться поддержкой высшего руководства. Без осознания возможных потерь от ущерба и требуемых мер, все дальнейшие действия будут являться полумерами или будут полностью провалены. При общении с топ-менеджментом выгоднее всего опираться на финансовые показали (подробнее можно узнать в статье «Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности» журнал «Системы безопасности», №1, 2021).
  2. Понимать, знать и закрепить нормальное (обычное) состояние актива. Если колеса должны лежать на складе, то в секции Е-21. Если база клиентов располагается в общей информационной сети, то доступ к ней должен иметь отдел продаж, бухгалтерия, ИТ-администраторы и безопасники.
  3. Принять меры физической защиты актива. Меры физической защиты должны завесить от ценности актива и угроз. Колеса можно положить в секцию Е-21 под замок, выдавать ключ под роспись и поставить видеонаблюдение.
  4. Принять организационные меры по защите актива. Должны быть приняты внутренние правила и регламенты по использованию актива, предоставлению доступа, списанию и уничтожению, и другим применимым действиям.
  5. Создать или дополнить штат службы безопасности необходимыми специалистами. Какие бы средства автоматизации вы не применяли, при недоборе в штатном расписании вы физически не сможете вовремя реагировать на инциденты.

Получив необходимые рычаги, теперь можно перейти к выстраиванию системы обнаружения инцидентов. Главный принцип обнаружения инцидентов – выявление отклонений от нормального состояния актива. Для этого могут использоваться различные методы и их комбинации:

  1. Штатное очное наблюдение. Если ваши ресурсы позволяют поставить возле каждого ценного актива охранника с пистолетом, то необходимо этим пользоваться. Или хотя бы разделить объект на контролируемые зоны и назначить ответственного за него.
  2. Использовать автоматизированные датчики контроля состояния актива и пространства вокруг него, в зависимости от его природы. Например, при обеспечении безопасности особенно ценных материальных активов можно хорошо себя показывает связка датчиков движения с видеонаблюдением или СКУДом. Для перемещаемых активов можно использовать RFID–метки, которые позволят не только быстро найти актив, но и следить за его перемещением.
  3. Использовать автоматизированные системы для наблюдения за контролируемыми зонами. Сюда относятся системы контроля пересечения периметра, видеонаблюдение, системы контроля доступа и т.п.
  4. Для информационных систем необходимы системы мониторинга и контроля пользователей. Сюда относятся средства защиты от несанкционированного доступа, системы защиты от утечек информации (DLP системы).
  5. Для объединения всех используемых методов крайне желательно создать ситуационные центр безопасности, куда будут подключены все системы обнаружения и безопасности. Это позволит штатному составу СБ работать с уже обработанной информацией, а не искать признаки инцидентов, тратя большое количество человеко-часов.

Предотвращение

Когда процессы обнаружения более или менее выстроены, перед службой безопасности часто встаёт задача предотвращать инциденты на ранней стадии, а не разбираться с их последствиями, т.е. «бить по хвостам». Предотвращение инцидентов комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, т.к. основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов. Здесь можно расставить лишь ориентиры для последующей работы.

  1. Первое направление — это работа с сотрудниками. Сотрудники должны быть информированы, желательно под подпись, с действующим режимом работы, что делать нельзя, и какая ответственность за это наступает. Для подавляющего большинства людей страх наказания выше, чем сиюминутная прибыль. Там, где возможно, необходимо вводить материальную и коллективную ответственность, чтобы контроль и пресечение инцидентов осуществлялся коллективом.
  2. Необходимо выявлять потенциально опасных сотрудников. Кто-то недоволен текущим положением, кто-то хочет уйти к конкурентам, кто-то слишком разговорчив в интернете. Конечно, слишком сложно и дорого отслеживать каждого сотрудника, но для ключевых позиций это жизненно необходимо.
  3. Необходимо создать комплексную скоринговую модель каждого бизнес-процесса, где участвуют ключевые активы, и занести ее в информационную систему ситуационного центра. В зависимости от приоритетов и оценок, это позволит выявлять пограничные состояния перед инцидентом, когда он еще не реализовался, но вот-вот может.

Расследование

Говоря об инцидентах, нельзя обойти вниманием вопрос об их расследовании. Расследование можно разделить на внутреннее и с привлечением правоохранительных органов. Разница в последствиях – при внутреннем расследовании максимум, чего можно добиться — это увольнения нарушителя и, иногда, возмещения вреда.

Если руководство перед вами ставит задачи максимального наказания нарушителей, вплоть до привлечения к уголовной ответственности, то весь процесс обнаружения инцидентов должен быть выстроен с учетом этой особенности. Оперативно-розыскные мероприятия очень чувствительны к обстоятельствам обнаружения инцидента, сбору доказательств и свидетельских показаний. Особенно это касается инцидентов в информационных системах. Если перед вами стоит задача максимального наказания нарушителей, то лучше сразу обратиться в специализированную организацию.

В заключение

Таким образом, к работе по обнаружению и предотвращению инцидентов следует подходить комплексно. Чем основательней будут проведены первые этапы по инвентаризации и категорированию активов и угроз, тем проще будет подобрать эффективный набор мер, даже в условиях ограниченного бюджета.

Дудко Дмитрий для журнала «Системы безопасности» (№2, 2021).

Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности

Авторская версия.

В современной корпоративной и государственной жизни невозможно избежать встречи с автоматизированными системами. Каждый из нас является пользователем как минимум 2-3 из них. Кроме того, некоторые в той или иной мере выступают владельцами существующих или проектируемых систем в части определения целей, задач и методов их выполнения. Владельцем системы может быть и руководитель крупного департамента, и начальник отдела, и ведущий инженер или администратор.

Каждый владелец рано или поздно сталкивается с потребностью в дополнительном финансировании для поддержания деятельности системы, либо для создания новой. При поиске источников финансирования владельцы должны быть готовы ответить на ряд вопросов, главный из которых, без сомнения, – «Сколько система будет стоить?». Говоря другими словами, необходимо оценить совокупную стоимость владения. Также инвесторы не оставят без внимания окупаемость системы и вклад в финансовые показатели организации.

И если с ИТ-системами уже предпринимаются робкие попытки расчета таких оценок, то в системах безопасности, как говорится, еще и конь не валялся. Поэтому предлагаю вашему вниманию методологию расчета совокупной стоимости владения, которую я и мои коллеги используем для расчета экономического эффекта автоматизированных систем (АС).

Определения

Самая частая проблема, возникающая у безопасников в коммуникации с финансовыми подразделениями и владельцами бизнеса, – отсутствие единой цели. Мы мыслим совершенно непохожими категориями, т.к. имеем отличные друг от друга устремления. Следовательно, и словарем пользуемся разным.

Поэтому начнем с самого начала – с уточнения понятий.

Разговаривать мы будем о совокупной стоимости владения (для автоматизированных систем вообще) или стоимости жизненного цикла (больше применимо для ИТ и ИБ систем). В общем случае эти термины эквивалентны.

Совокупная стоимость владения (от англ. total cost of ownership, TCO) – общая величина целевых затрат, которые вынужден нести владелец с момента начала реализации вступления в состояние владения до момента выхода из состояния владения и исполнения владельцем полного объёма обязательств, связанных с владением.

Из определения TCO, согласно западной методологии, вытекают два фундаментальных понятия о затратах:

  • CAPEX (от англ. CAPital EXpenditure) – капитальные расходы компаний на приобретение или модернизацию физических активов;
  • OPEX (англ. сокращение от operating expense, operating expenditure, operational expense, operational expenditure) – операционные расходы, повседневные затраты компании на ведение бизнеса, производство товаров и услуг.

В нашей же методологии мы пользуемся следующими понятиями:

  • прямые затраты;
  • косвенные затраты.

Почему? Во-первых, данные понятия есть в Налоговом кодексе РФ и ПБУ (Положении о бухгалтерском учете). Во-вторых, это упрощает отнесение затрат по статьям расходов.

Далее мы не будем пользоваться понятиями CAPEX и OPEX. Те из вас, от кого требуют расчеты с четким разделением на CAPEX и OPEX, смогут самостоятельно разнести затраты из методологии. Основной (упрощенный) принцип такой – если затрата единоразовая, то это CAPEX, все остальное –OPEX.

Прямые затраты

Если вы поищете в интернете определение прямых затрат, то найдете следующее определение:

«Прямые затраты» — это то, что потрачено на производство конкретных товаров или услуг. Такие расходы можно включить в себестоимость: например, стоимость сырья и зарплаты сотрудников, которые работали над продуктом.

Точное определение представлено в статье 318 Налогового кодекса РФ и содержит перечисление того, что входит в данный вид затрат.

Применимо к теме нашего разговора для расчета совокупной стоимости владения автоматизированной системой под прямыми затратами мы будем понимать:

«Прямые затраты на АС» – то, что непосредственно потрачено на создание, эксплуатацию, масштабирование и развитие автоматизированной системы.

Косвенные затраты

Общее определение косвенных затрат звучит так:

«Косвенные затраты» — это расходы, связанные с производством, которые нельзя напрямую включить в себестоимость конкретного вида изделия.       

Точное определение представлено все в той же статье 318 Налогового кодекса РФ.

Для расчета TCO для автоматизированных систем мы будем использовать следующее определение косвенных затрат:

«Косвенные затраты на АС» – другие (сопутствующие) затраты, необходимые для создания, эксплуатации, масштабирование и развитие автоматизированной системы, не входящие в перечень прямых затрат.

Если немного запутались, что относить к прямым затратам, а что к косвенным – не отчаивайтесь.

Данные виды затрат отличает один признак: в зависимости от организации и проекта при создании АС без косвенных затрат можно обойтись, а без прямых – нет.

Пример необходимости расчета TCO

Одно очень крупное российское промышленное предприятие решило внедрить у себя комплексную систему защиты. В рамках внедрения была запланирована система двухфакторной аутентификации с помощью токена (защищенной USB-флешки). Токены (несколько тысяч штук) и необходимое ПО были закуплены подрядчиком, все было готово к внедрению. Итогом стал провал внедрения подсистемы, токены так и остались лежать в коробках.

Основные причины провала.

  1. Противодействие со стороны ИТ-службы в рамках внедрения подсистемы. Процедура требовала организации, учета, замены и вывода из обращения старых флешек, а также организации обучения пользователей новым правилам. ИТ-служба должна была понести значительные финансовые и временные затраты, что, к сожалению, не было учтено при проектировании.
  2. По внутренним регламентам предполагалось, что сотрудники будут использовать токены только во время работы, получая их у своего руководителя под роспись. После окончания работы токены необходимо было сдавать и хранить, например, в сейфе. Расходы на эти и другие процедуры также не были учтены.

Таким образом, ключевой проблемой стал учет только прямых расходов на систему.

Методика расчета совокупной стоимости владения

Не существует самой общей и полной методики расчета TCO, т.к. большинство затрат по статьям и размерам зависит от специфики конкретной организации. Подход, о котором я хотел бы рассказать, – часть большой методики оценки эффективности внедрения и эксплуатации автоматизированных систем, которую ЛАНИТ использует в проектах. Описываемый метод применим в первую очередь для бюджетной оценки внедрения АС, которая, как правило, применяется на стадии формулирования потребности и решения. Бюджетная оценка обладает значимой погрешностью (до 18%), устранение которой требует проведения дополнительных работ по оценке и анализу бизнес-процессов заказчика.

Полная оценка внедрения, планирование инвестиций в среднесрочном периоде (3-5 лет), а тем более оценка влияния на финансовые показатели, лежат вне рамок небольшой журнальной статьи. Если вам требуется взвешенная и обоснованная оценка – обратитесь к специалистам.

Итак, методика расчета совокупной стоимости, в сущности, сводится к суммированию перечня планируемых затрат. Данный метод позволяет производить оценку в среднесрочном периоде, влияние на производственные и непроизводственные процессы, учитывать разные источники финансирования, валюты закупок, способы оплаты и расчета с поставщиками.

Планируемые затраты:

  1. прямые затраты на внедрение АС;
  2. прямые затраты на сопровождение АС;
  3. косвенные затраты на внедрение АС;
  4. косвенные затраты на сопровождение АС.

Прямые затраты на внедрение АС

Самый простой и очевидный перечень затрат. Прямые затраты на внедрение включают следующие пункты. Это:

  1. Закупка аппаратных компонентов АС. Затраты на аппаратные компоненты АС – это могут быть блоки управления, считыватели, камеры и т.д., все те компоненты АС, которые закупаются с НДС. К данной статье затрат не относится серверное оборудование.
  2. Закупка программного обеспечения АС. Затраты на программные компоненты АС, в подавляющем количестве случаев – это будут лицензии или неисключительные права использования на программное обеспечение, т.е. компоненты, покупаемые без НДС.
  3. Закупка серверного оборудования. Затраты на закупку серверов и систем хранения данных. Данная статья расходов выделена, т.к. серверное хозяйство может быть представлено физическими или виртуальными серверами или быть размещено в облачной инфраструктуре. В общем случае это компьютеры, на которых будут установлены программные компоненты АС.
  4. Закупка автоматизированных рабочих мест. Затраты на покупку рабочих мест пользователей и администраторов. В рамках проекта могут использоваться: существующие компьютеры, модернизация существующих компьютеров, закупка новых.
  5. Закупка программного обеспечения (общесистемного). Затраты на программное обеспечение серверов и рабочих станций. В 90% случае это затраты на закупку дополнительных лицензий операционной системы, офисного пакета и другого ежедневно используемого ПО.
  6. Закупка программного обеспечения (инфраструктурного). Затраты на ПО, обеспечивающее беспрерывную работу оборудования АС. Наиболее часто встречается расширение лицензий СУБД, систем администрирования и резервного копирования.
  7. Закупка программного обеспечения (специализированного). Закупка программного обеспечения, не входящего в другие категории. Например, докупка лицензий на дополнительные камеры видеонаблюдения, считыватели СКУД и т.п.
  8. Закупка инфраструктурного оборудования. Затраты на инфраструктурное оборудование, которое будет обеспечивать беспрерывную работу АС. Сюда включаются дополнительные маршрутизаторы для нового сегмента сети, дополнительные диски для архивирования, увеличение оперативной памяти и пропускной способности серверов и маршрутизаторов.
  9. Затраты на средства информационной безопасности. Затраты на средства информационной безопасности АС, включают в себя: антивирусы, средства защиты от НСД, межсетевые экраны, VPN и т. д.
  10.  Затраты на средства физической безопасности. Затраты на средства физической защиты: решетки, сейфы, видеокамеры, размещение дополнительных постов охраны, организацию пропускного режима и т.п.
  11.  Закупка монтажных комплектов и соединений. Все закупленное оборудование необходимо установить, смонтировать и подключить. В подавляющем большинстве случаев крепеж серверов, а также кабели подключения не идут в комплекте поставки. Данный раздел не учитывают чаще всего. К нему относятся: серверные стойки, ИБП, монтажные комплекты серверов, трансиверы, оптоволоконные кабели и кабели питания.
  12.  Работы по проектированию. Работы по созданию необходимого комплекта проектной и организационно-распорядительной документации.
  13.  Работы по монтажу, настройке и пусконаладке АС.
  14.  Обучение администраторов. Курсы повышения квалификации для администраторов по обучению работы с новой системой.

Прямые затраты на сопровождение АС

Прямые затраты на сопровождение – это затраты на поддержание работы системы в течение определенного периода времени (обычно 1 год). Затраты на сопровождение включают следующие позиции:

  1. Закупку вендорского технического сопровождения и обновления ПО. Затраты на техническую поддержку закупленного ПО (всех видов), обычно закупается на срок 12 или 36 месяцев.
  2. Закупку продления гарантии на аппаратные компоненты АС.
  3. Зарплату администраторов АС. В большинстве случае зарплата ИТ-персонала коррелирует с количеством и сложностью систем, находящихся в их ведении. Чем больше систем, тем выше зарплата и/или больше администраторов требуется.
  4. Затраты на наем персонала. Затраты на поиск, наем и оформление новых сотрудников необходимой квалификации. Обычно данные затраты ложатся на отдел кадров.
  5. Затраты на техническое сопровождение АС. Затраты, связанные с эксплуатацией и масштабированием АС. Изменения организационных процессов, выпуск новых регламентов по работе и приему заявок от пользователей, организация ремонта и замены элементов АС, привлечение субподрядной организации для технического сопровождения. Таким образом, в данную статью включается, все то, что вовлеченные подразделения должны организовать для штатного функционирования системы.

Косвенные затраты на внедрение АС

Косвенные затраты на внедрение – затраты на внедрение, которые обычно не включаются в стоимость контракта с Исполнителем и обеспечиваются заказчиком.

  1. Организационные работы по внедрению. Любое внедрение системы требует большой подготовительной работы со стороны заказчика, организация внедрения, разработка соответствующих приказов и распоряжений, завоз и вывоз оборудования подрядчиков и многое другое. Чаще всего это сопровождается вовлечением большого количества структурных подразделений, чьих сотрудников отвлекают от текущих задач. Все это является затраты для заказчика.
  2. Затраты на помещения. Для размещения новых рабочих мест и оборудования может потребоваться новое помещение, которое необходимо привести в порядок, сделать ремонт или построить.
  3. Затраты на мебель. В случае организации новых рабочих мест могут потребоваться новые столы, стулья, шкафы и т.п.
  4. Затраты на электричество и охлаждение. Затраты чаще всего возникающие при размещении оборудования в ЦОДах, где может не быть дополнительных электрических и охлаждающих мощностей под новое оборудование. Что потребует проведение новой электрической ветки или установки нового кондиционера.
  5. Затраты на обучение пользователей.  Затраты на обучение существующих пользователей.

Косвенные затраты на сопровождение АС

Косвенные затраты на сопровождение – все дополнительные затраты в течение срока сопровождения АС.

  1. Затраты на помещения. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  2. Затраты на электричество и охлаждение. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  3. Затраты на обучение новых пользователей и сотрудников.

Получив оценку по каждой статье расходов, вы оцените совокупную стоимость внедрения вашей системы. Этот метод позволит руководителям безопасности и ИТ подразделений  точнее оценить потребность в финансировании  и перевести общение на язык цифр и денег.

Дудко Дмитрий для журнала «Системы безопасности» (№1, 2021).

Печатная версия

Проблемы внедрения ИБ в больших организациях

Сегодня я хотел бы рассказать о проекте по внедрению системы защиты конфиденциальной информации на 5600 автоматизированных рабочих мест. Этот кейс мы реализовали в прошлом году. Он вобрал в себя множество типовых и уникальных проблем, которые могут возникнуть при внедрении в больших организациях. «Очень больших» — намекает картинка.

Источник

Характеристика объекта внедрения

Крупный военный завод. К сожалению, военные заводы не любят, когда распространяются об их деятельности в области безопасности и на каждом шагу упоминают их названия. Поэтому будем для лаконичности называть объект внедрения просто – военный завод.

На заводе работают порядка 16 000 человек на 5600 автоматизированных рабочих местах (АРМах). Инфраструктура расположена в двух ЦОДах плюс в мобильном ЦОДе. Итого 119 объектов/отделов на 15 площадках.

Состав внедряемых подсистем:

  • СЗИ от НСД плюс централизованное управление;
  • платы СДЗ плюс централизованное управление;
  • межсетевые экраны;
  • VPN-шлюзы;
  • система обнаружения вторжений;
  • анализ защищенности;
  • USB-токены;
  • SIEM-система;
  • антивирусная защита.

Вендоров называть не буду, чтобы не сочли за рекламу. Лучше расскажу про сроки. Начало работ — 15 июля 2019 года, окончание — 27 декабря 2019 года.

Специфика ИБ-внедрений

Можно долго дискутировать, какие проекты проще: ИТ или ИБ. С одной стороны, ИБ-проекты сильно опираются на готовую нормативную базу, что упрощает выбор технических решений и организационных мероприятий. ИТ-проекты же крайне бизнес-зависимы (за исключением инфраструктурных, конечно). В первую очередь здесь необходимо учитывать требования функционального заказчика, который будет взрывать мозг вам и вендору.

Но сложность ИБ-проектов кроется как раз в той самой нормативной базе. Когда требование есть, но реализовать его невозможно, во всяком случае в рамках текущего времени и бюджета. В противном случае или это требует изменения такого количества процессов в производстве, что вы даже не захотите начинать об этом думать. 

В рамках данного проекта мы должны были выполнить (сокращенный перечень):

  • постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 28.02.2017 № 31 «Об утверждении Требований к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса»;
  • приказ ФСТЭК России от 29.05.2009 № 191 «Об утверждении Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну»;
  • приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Не вдаваясь в подробности конкретных положений, те, кто с ними сталкивался, думаю, могут представить конкретные проблемы реализации. Однако хотелось бы заострить внимание на следующих моментах.

  • Система защиты должна была быть аттестована, а потом проверена регуляторами, что очевидным образом максимально повышает приоритет задаче: неукоснительное выполнение требований.
  • Требования прописаны в государственном контракте, и несмотря на то, что в данном списке есть неприменимые к заводу нормативно-правовые акты (НПА), их требования необходимо выполнять. 
  • Некоторые НПА предъявляют разные требования к одним и тем же элементам, а следовательно реализовывать их надо будет все. Т.е., если один НПА предъявляет минимальные требования, а другой – повышенные, реализовывать надо будет по максимуму.
  • В информационной безопасности, к сожалению, небольшой перечень решений, которые можно было бы применить. Так что если средство защиты не подходит к конкретной ИТ-архитектуре, то заменить его очень сложно, тем более в рамках четкого ТЗ по 44-ФЗ.
  • При отсутствии технической возможности выполнения требований, можно применить организационные мероприятия. Но это потребует огромного количества согласований и может растянуться на годы в такой огромной организации, как военный завод. А срок исполнения проекта ограничен.

Здесь мало что можно порекомендовать. В случае невозможности реализовать конкретное мероприятие, его можно попробовать согласовать с региональным регулятором. При замене технических мер организационными, если вы точно не укладываетесь в сроки, необходимо подготовить план мероприятий, который должен включать:

  1. Четкие этапы внедрения новых мер.
  2. Сроки данных этапов.
  3. Ответственных за выполнение плана.
  4. Обязательное обучение сотрудников и ответственных.
  5. Быть принятым на уровне организации.

Источник

Чужой проект

Так случилось, что данный проект изначально вел другой интегратор. В течение трёх лет по всем правилам был проведен аудит и техническое проектирование. В начале 2019 года завод готов был заключить договор с единственным поставщиком на работы по внедрению, но… интегратор ушел, что называется, «в несознанку». Он перестал отвечать на письма и звонки, а когда все же удалось с ним связаться, ответил, что данный проект его не интересует.

Это породило две проблемы – в проекте была чужая спецификация, и сроки уже начали поджимать.

Чужая спецификация

Чужая спецификация в информационной безопасности — не такая уж и большая проблема. Как уже упоминалось, на рынке средств защиты информации круг решений скромный, и от большинства знаешь, чего ожидать.

Проблема крылась в другом: за строчкой в спецификации – 5600 СДЗ —  может скрываться внедрение на одной площадке, а может и по всей области (в итоге площадок оказалось 15). В данной строке не виден парк конечных станций, их распределение и готовность к внедрению.

Плюс к этому из спецификации не прослеживалось, что реализованы все необходимые подсистемы безопасности. Также в проекте была заложена SIEM-система, что накладывало дополнительные ограничения на подключаемые средства защиты и системы. Вишенкой на торте стала спецификация серверного оборудования в составе  трех серверов, одной СХД и одного ноутбука (!), что, мягко говоря, маловато.

В этот момент стало понятно, что, если и ввязываться в данный проект, то необходимо провести минимум рекогносцировку на местности. Так как изначальный проект можно изучить только на месте, мы сформировали команду из четырёх человек, усилились представителями вендоров и выехали на объект.

Посмотрев первоначальный проект и предполагаемые проблемы, стало понятно, что всю спецификацию надо менять. Например, прошлый проектировщик заложил 2000 плат СДЗ с локальным (!) управлением, что должно было стать катастрофой ещё на этапе внедрения.

Мы изменили спецификацию: просто заменили конкретные позиции без увеличения количества и качества. Теперь все стало хотя бы напоминать рабочее решение, но повлекло за собой фундаментальные проблемы, которые чуть не привели к краху всего внедрения. Подробности ниже.

Время внедрения

В связи с отказом от выполнения работ предыдущего поставщика сильно сократился срок внедрения. Первоначально планировалось все реализовать за 12 месяцев, но т.к. пришлось организовывать конкурс, его отыгрывать, проводить пресейльные мероприятия, согласовать и организовать подписание договора по 44-ФЗ с казначейским сопровождением, в чистом остатке на внедрение у нас оставалось менее 6 месяцев.

В принципе, этот срок был уже на грани возможностей. Камнем преткновения стала установка 5600 плат СДЗ (средство доверенной загрузки, которое защищает рабочую станцию на этапе загрузки BIOS). Каждая плата должна быть установлена в компьютер путем нехитрых манипуляций: прийти на место, выгнать пользователя, снять крышку корпуса, вставить плату, загрузиться, протестировать плату, провести настройку, завинтить крышку, отдать компьютер пользователю.

В идеале, это занимает 15 минут. При планировании же мы ориентировались на час работы. Итого 5600 трудо-часов. Применив нехитрые статистические методы, стало ясно, что на эту работу потребуется минимум 10 человек. Собственно, на этом работу можно было бы и закончить. Ни один интегратор в здравом уме не отправил бы 10 инженеров в командировку из Москвы на 3 месяца крутить компьютеры. Во-первых, это очень дорого и накладно, а, во-вторых, это верный способ этих инженеров потерять.

Выручило нас то, что у ЛАНИТ в данном регионе есть ресурсный центр (у нас их несколько по России), который плотно взаимодействует с региональными вузами. В этот момент у них начался очередной раунд стажировки студентов. Договорившись с коллегами, обеспечив транспорт, питание и контроль над молодыми специалистами, мы получили 15 стажеров на внедрение плат.

15 июля 2019 года ГИП, руководитель проекта, три аналитика и три инженера из Москвы, 15 студентов-стажеров, руководитель ресурсного центра, его заместитель, бригадир стажеров и два представителя вендоров зашли на завод, чтобы начать работу.

Сложности согласования

Каждая более или менее крупная организация обрастает большим количеством сопутствующих бизнес-процессов и в конце концов бюрократией в хорошем смысле слова. Организация работы 20 человек уже требует определенного упорядочивания, что сложно сделать народными методами, то есть устно. Появляются положения, регламенты, инструкции (я уже писал, о том, как они появляются), что в конечном счете приводит к наличию множества параллельных структур, которые напрямую в проекте не участвуют, но мнение которых надо учитывать (бюрократия в плохом смысле слова). 

Приведу два примера. В начале проекта в июле мы решили согласовать с бухгалтерией завода форму закрывающих актов (у нас было шесть промежуточных и один закрывающий). Когда мы принесли подписанную форму закрывающего акта бухгалтерам 24 декабря, оказалось, что форма совершенно неправильная. Да и промежуточные хорошо бы поправить, хотя те же самые формы были еще раз согласованы внутренним порядком в начале декабря. Спектр эмоций команды проекта с обеих сторон можете себе представить.

Бывают сложности и внутри проекта. Это уже второй пример. Когда мы подписали договор и начали работы, все резко осознали, что в спецификацию надо внести изменения из-за того, что требуемые серверы не успеют прийти вовремя. Сразу же эти изменения обговорили и потом четыре месяца согласовывали их в спецификации внутри команды проекта со стороны заказчика, так как любые решения у нас должны пройти стадию тестирования. Этот процесс мы не можем завершить, так как нет серверов. Серверы не можем заказать, так как заложенные не успеют прийти, а планируемые никто не будет заказывать без изменения спецификации. Круг замкнулся.

В таких случаях надо переходить сразу к пятой стадии – принятие. И, конечно, хорошо бы знать особенности своих заказчиков, чтобы быть готовыми к подобным поворотам и играть на опережение. Заранее официальными письмами все согласовывать.

Источник

Сложности коммуникации

В заключение хотелось бы осветить типовую, но не менее болезненную тему – коммуникации. Если внутри своей компании исполнитель может договориться и прийти к единой точке зрения, то проблемы с общением внутри заказчика встают наиболее остро. В нашем случае в команде проекта со стороны завода было три подразделения: айтишники, ИБ-специалисты и отдел технической защиты информации (ТЗИ). 

По всем ключевым вопросам общение делилось на три стадии.

  • Кулуарное или неофициальное обсуждение. Самый простой и эффективный способ, с помощью которого решались все вопросы, не затрагивающие других уровней и зависящие от одной из вертикалей.
  • Официальное обсуждение на рабочем уровне. Общение, требующее утверждение всех заинтересованных отделов. Это совещания, плавно растягивающиеся на несколько часов, когда все всё понимают, но имеют старые обиды и противоречия. Цель данных совещаний — закрепить протоколом те или иные решения, влияющие на проект. 
  • Официальное обсуждение на утверждающем уровне. После рассмотрения вопросов рабочей группы надо получить согласование руководителя данной вертикали. Обычно руководителя очень сложно застать на месте, и у него есть особое, зачастую перпендикулярное мнение по текущему вопросу.

Не буду описывать особенности коммуникации на каждой из стадий. Заострю лишь внимание на единственном решении, доступном исполнителю. Любую устную договоренность необходимо фиксировать письменно. Даже если все трое представителей заказчика пришли к определенному решению, завтра они совершенно спокойно могут об этом «забыть», и вы начинаете обсуждение сначала.

Способов закрепления договоренностей немного (в порядке убывания).

  1. Протокол рабочей группы с подписями участников (за полгода я подписал их десятки).
  2. Официальное письмо заказчика. Часто, чтобы что-то двинулось, надо, чтобы заказчик послал соответствующий запрос или требование. Разумеется, это письмо будете писать вы.
  3. Официальное письмо исполнителя. Если нет ничего лучше, пишите официальные письма. Проблема данного способа в том, что письмо совершенно спокойно может потеряться в канцелярии или у секретарей. У нас однажды 15 коробок с платами потерялось на проходной, что уж говорить о листе бумаги.
  4. Проектная документация. Иногда при понимании всех причастных можно требуемое прописать в утверждаемых документах. Мол, оно всегда там было.
  5. Письмо электронной почтой. В крайнем случае фиксируйте все в электронной переписке. В случае чего вы сможете сослаться на то, что информировали заказчика. Хотя шансов немного.

Это лишь малая часть проблем, с которой мы столкнулись. Несмотря ни на что, проект был нами сдан вовремя и уже прошел несколько проверок. Заказчик остался доволен, и мы продолжили с ним сотрудничество.

А на сегодня все, до новых встреч.

P.S. Оригинал статьи.

Инвентаризация рисков ИБ: нормативные, методические и практические аспекты

Управление риском в широком смысле слова, и рисками информационной безопасности в частности, – это то, чем мы с вами занимаемся каждый день. Зачастую это происходит неосознанно, на автомате, однако, тем не менее, дает реальные результаты. Конечный результат управления риском – предотвращение ущерба объекту риска: вам, вашей семье, вашей компании, отдельным процессам, отрасли или государству в целом.

Вы можете подумать, что к вашей компании не применимо большинство рисков и уж точно никакого отношения не имеют риски информационной безопасности, т.к. «компания небольшая и брать нечего». Но даже в этом случае у вас есть ценный актив.

Можно украсть информацию о вашей производственной деятельности: закупочные цены, если вы что-то продаете, ноу-хау и секреты, если что-то производите. Даже ваши планы закупок могут представлять интерес.

Можно украсть персональные данные сотрудников и клиентов – их можно продать или оформить множество потребительских кредитов.

Можно получить доступ к банк-клиенту.

Можно воровать вычислительные мощности на ваших серверах, например, чтобы майнить биткоины, разместить там свой сервер или просто рассылать спам.

Можно просто воровать ваш интернет.

Чтобы этого не случилось, нужно обеспечить выполнение правил ИБ. Но прежде всего, необходимо выявить какие риски существуют и оценить возможный ущерб.

Заранее посчитанные риски

Классическое определение риска гласит:

Риск (от лат. resecō — «отсекать», «сокращать» или др.-греч. ῥιζικόν — «опасность») — сочетание вероятности и последствий наступления неблагоприятных событий.

А его формулу записывают так: Величина риска = вероятность события * размер ущерба

Вероятность в данном случае – вещь сугубо субъективная. Мы склонны перестраховываться, не понимая, что перед нами лишь иллюзия опасности. Причина этому уходит корнями глубоко в древность, а точнее к тем инстинктам, что принимают камень за льва. Здесь не страшно ошибиться и обознаться, однако эта ошибка дает шанс убежать от реального льва. Поэтому в первом приближении будем рассматривать риски лишь с точки зрения ущерба.

Для большого количества рисков уже посчитаны вероятность и ущерб. Существуют даже целые области математики, рассчитывающие риски для определенных отраслей. Например, есть актуарная математика, занимающаяся методами расчета, связанными со страхованием различных рисков, скажем, расчет риска дожития.

Или еще пример: известный расчет риска гибели в процессе авиапутешествия. Вероятность того, что пассажир, севший в самолет, погибнет в авиакатастрофе, составляет примерно 1/8 000 000. Таким образом, если пассажир будет садиться каждый день на случайный рейс, ему понадобится 21 000 лет, чтобы погибнуть.

Далее мы не будем рассматривать заранее известные и просчитанные риски, т.к. это не принесет практической пользы.

Инвентаризация рисков

Все основополагающие понятия в управлении риском мы повторили. Теперь же приступим к определению первого этапа – инвентаризации, или, если вы впервые выявляете риски, идентификации рисков. Чтобы не запутаться: выявляете риски первый раз для любого объекта – производите идентификацию рисков, все последующие работы по выявлению и пересмотру – инвентаризация рисков.

Идентификация рисков – это процесс (бесконечный процесс) определения факторов, событий, ситуаций, которые могут нанести ущерб.

Для успешной идентификации риска достаточно ответить на три простых вопроса:

  1. Какой будет ущерб?
  2. Какое событие/действие должно произойти, чтобы мы понесли ущерб?
  3. В отношении какого объекта должно произойти событие, чтобы мы понесли ущерб?

Вы могли заметить, что вопросы выражают обратную последовательность действий: ущерб <- действие <- объект. Этот способ используется для простоты. Когда вы станете опытнее, сможете использовать прямую схему: объект -> действие -> ущерб.

Объект риска

Объектом ущерба может выступать:

  • компания или ее часть;
  • бизнес-процесс;
  • информационная система;
  • банк данных или информация;
  • инфраструктура;
  • человек и т. д.

Объектом может быть вообще любой предмет, материальный или нематериальный актив, негативные действия по отношению к которому принесут ущерб.

Действие риска

Действия над объектом – перечень негативных операций над объектом, которые приводят к ущербу. К общим негативным операциям можно отнести кражу объекта или его части, повреждение или уничтожение, разглашение, несанкционированное использование и так далее.

В информационной безопасности выделяют следующие действия.

  1. Нарушение конфиденциальности – мы получаем ущерб от того, что что-то стало известно. Например, наша секретная формула стала известна конкурентам.
  2. Нарушение целостности – мы получаем ущерб от того, что наши данные неполны и/или изменены. Например, компьютерный вирус поменял все 0 на 9 в бухгалтерском отчете, что на один порядок увеличило налоговые выплаты.
  3. Нарушение доступности – мы получаем ущерб от того, что в определенный момент не получили доступ к нужной информации или услуге. Например, у нас не было доступа в интернет, чтобы выиграть очень важный аукцион, или мы вовремя не ответили на запрос контролирующих органов, потому что у нас свет отключили.

Источник действия – нарушитель

Чтобы в конце не запутаться, сформируйте для себя модель нарушителя. Речь о перечне источников действий, которые могут нанести ущерб. На первом этапе достаточно будет просто выявить группы нарушителей, например, сотрудники, конкуренты, хакеры, стихийные бедствия, технологенные факторы, «человеческий фактор» (глупость/некомпетентность) и так далее.

Выявить основные группы потенциальных нарушителей поможет понимание мотивов этих группы (за исключением техногенных и природных факторов, разумеется). Мне в этом помогает простая модель поведения субъекта (в порядке убывания):

  • финансовый интерес;
  • межличностные интересы;
  • доминантность.

К первой категории относится 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) изменился в прагматическую сторону, если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику.

«Вершиной» мотивов является доминирование, когда те или иные действия совершаются «просто потому, что я могу». Например, обесточивание целого здания.

Теперь вы можете записать каждый риск примерно в таком виде:

Объект воздействия Нарушитель Действие Ущерб
1 Ноу-хау компании Сотрудники Кража Средний
2 Ноу-хау компании Конкуренты Кража Катастрофический
3 директор по ИТ и ИБ Техногенные факторы Пропажа информации с телефона владельца Катастрофический

Ущерб от риска

В завершение мы должны оценить ущерб. Оценку нужно производить в деньгах. В третьей строке таблицы мы описали риск увольнения директора по ИТ и ИБ. Это будет не только личной трагедией для топ-менеджеров, но и принесет ущерб компании, которой, как минимум, придется искать новых сотрудников.

В первом приближении можно остановиться на качественной оценке ущерба с градацией «незначительный-средний-высокий-очень высокий».

Методы инвентаризации рисков

Существует два больших множества методов инвентаризации рисков. Первое множество –отраслевые, или стандартизированные, методы.

Во многих отраслях и направлениях уже сформированы базы рисков, которые могут быть отнесены к тем или иным объектам. Например, в информационной безопасности можно воспользоваться Банком данных угроз безопасности информации ФСТЭК России. Каждый риск (угроза) имеет описание: объект, источник угрозы (нарушитель), описание (действие), последствия реализации угрозы (ущерб).

Задав в поиске «источники угроз и последствия», вы можете сделать первоначальную выборку угроз (в данном случае информационной безопасности) и начать с ними предметную работу.

Методик и стандартов определения рисков информационной безопасности достаточно. Если вы захотите лучше разбираться в рисках, то можно рекомендовать серию стандартов ISO 2700x, полностью посвященных рискам и риск-менеджменту.

Второе множество методов идентификации рисков я называю «рабоче-крестьянскими» – они являются родственными методам «что если?» (самым ярким представителем которых является методология SWIFT). Данные методы требуют больше времени для определения рисков, но лишены недостатков стандартизированных методов, т.к. учитывают особенности конкретного объекта.

Заключение

После проведения инвентаризации рисков, вам потребуется оценить последствия (ущерб) и выработать защитные меры от рисков. По отношению к выявленным рискам возможны следующие защитные действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Этап инвентаризации рисков является ключевым для любого вида деятельности, чем больше рисков вы предусмотрите, тем менее разрушительными будут последствия от свершившихся рисков. Желаю вам, что бы вас не касались риски с катастрофическими последствиями.

3 декабря 2018 года, для журнала Connect WIT 2018 № 11-12

Как сделать стандарт за 10 дней. Часть вторая. Скучная

Как сделать стандарт за 10 дней я рассказывал раньше. Сейчас я хотел бы рассказать о терминологии и названиях документов, их значении и разных подходах к составлению документации. Конечно, все знают, что полезно разбираться в документах, но не у всех хватает терпения вникнуть в них. Я расскажу, как меня засудили как раз за это. Эта часть будет сухой и скучной, налейте себе чая, возьмите печеньки. Поехали.

Слишком долгое вступление в тему

Любой живой язык прекрасен в своих нюансах. А русский язык прекрасен вдвойне. Имея такой мощный базис, русский канцелярит (так я называю язык, на котором пишутся законы, постановления правительства и другие официальные бумаги) пленит своими возможностями. Разумеется, если вы не пытаетесь его читать.  Если нет возможности этого избежать, то читать канцелярит надо вдумчиво и размеренно, несколько раз перечитывая, вникая в каждое слово.

Шел 2008 год – лето, пятница. Я отпросился пораньше с работы, чтобы не стоять в пробках, и ехал на дачу по Дмитровскому шоссе в районе Яхромы. Было довольно плотненько, но терпимо. Меня останавливает инспектор ГИБДД, просит документы и заявляет, что я не пропустил пешехода. Я с ним не соглашаюсь.


Тогда инспектор предлагает подписать мне постановление и говорит, что у меня будет 10 дней на обжалование. Ну, уже неплохо. Я подписываю бумагу и еду дальше по своим делам. Оказалось, что инспектор воспользовался моим незнанием.
 

Протокол? Какой протокол?

На суде выяснилось, что я подписал не протокол, а постановление.

В случае, если представитель власти увидел признаки административного правонарушения (например, правил дорожного движения), он должен составить протокол. В протоколе вы можете написать, что не согласны с замечаниями, а вот в постановлении такой графы нет. Т.е. подписывая постановление, я фактически признал свою вину. Да, у вас есть 10 дней, чтобы обжаловать постановление. Но шансов практически нет. Таким образом, протокол – лишь фиксация нарушения, а постановление – уже назначенное наказание.

Казалось бы, две какие-то бумажки, а какие разные последствия.

Документы для информационной безопасности

Как и любая деятельность, процессы информационной безопасности рано или поздно обрастают некоторым объемом документов: политики, регламенты, инструкции, положения и т.п.  Каждый из этих документов решает определенную задачу, а путаница в них (как в примере выше) в обязательном порядке губительно скажется на вашей деятельности.

Для создания документов такого рода мы можем использовать достижения как отечественной, так и западной школ.

Западная школа

Западная школа довольно свободно относится к названиям и содержанию документов. Самым ярким доказательством является серия стандартов – ISO 2700x, которую знает каждый безопасник.


В общем случае вся документация делится на четыре уровня.

  • Политики первого уровня – наиболее «водянистые» и «стратегические». Например, «Политика информационной безопасности ООО «Ромашка».
  • Политики второго уровня – конкретизируют определённые аспекты глобальной политики или конкретные процедуры. Например, «Политика антивирусной защиты».
  • Инструкции (третий уровень) – описывают конкретные обязанности сотрудников в рамках политики 2 уровня, например, «Инструкция системного администратора по антивирусной защите сегмента КСПД».
  • Записи (четвертый уровень) – все то, что не вошло в предыдущие три уровня. От настроек на конкретном сегменте до разбора инцидентов SIEM-системы.

При применении данного подхода возникают проблемы с адаптацией сего стандарта в наших реалиях. До сих пор можно легко обратить любое общение безопасников в безжалостный холивар вопросом о размере политики безопасности. Большинство предпочитает хранить всю необходимую информацию в одном документе, ведь чем больше документов, тем больше времени необходимо тратить на отслеживание их взаимосвязей, а согласование и внесение изменений может затягиваться на месяцы. Я встречал и другие мнения, однако в любом случае вывод следующий: западные методики не раскрывают многих необходимых нюансов.

Обратимся же к отечественному опыту.

Отечественная школа

Имея такую впечатляющую историю и опыт поколений в разработке конструкторской документации (ЕСКД), было бы удивительно, если бы у нас не сложились свои традиции и понимание оформления документов. Если внимательно посмотреть тот же ГОСТ 34 серии, то можно с удивлением узнать, что он вполне логичен и даже удобен. Разве перед внедрением любой системы вы не разрабатываете верхнеуровневую структуру (эскизный проект), уточняя его все детальнее и детальнее (технический проект и рабочая документация)?

Поэтому, если вы будете разрабатывать документы для русской компании, вы скорее всего будете использовать подходы отечественной школы. Основным ее отличием от западной является внимание к терминам и названиям. Например, называя документ «Перечень входных сигналов и данных», от вас ожидают, что там будет информация о входных, возможно, даже о выходных сигналах, а не требования к информационному обеспечению или описание массива информации.

Но здесь вас может поджидать проблема. Как вы думаете, чем отличаются:

  1. Политика информационной безопасности,
  2. Регламент информационной безопасности,
  3. Положение об информационной безопасности?

Именно этот вопрос поставил меня в тупик, когда я перешел к этапу составления комплекта организационно-распорядительной документации (ОРД). Давайте же разберемся.
 

Как вы лодку назовете, так она и поплывет

Остановимся на основных документах (если будем рассматривать все – это будет совсем нудно и неинтересно). Описанный ниже подход является основным в работе Департамента информационной безопасности в одном из подразделений ЛАНИТ.
 

Приказ

Альфа и омега любого процесса, который вы захотите перенести на бумагу. В отличие от западного подхода, где достаточно просто утверждения уполномоченными лицами, у нас все документы вводятся приказом. Вы можете использовать в работе какие угодно инструкции и формы, но если они не введены приказом, считайте, что их у вас нет.

Это, кстати, особенно актуально для защиты персональных данных. Любая проверка регуляторов начинается с установления факта правоприменимости принятых мер. Если вы занимаетесь каким-нибудь документом, то вам, скорее всего, и готовить проект приказа.

Основными отличительными чертами Приказа являются следующие:

  1. Вводится в действие генеральным директором, именно он имеет право распространять те или иные требования на всю организацию.
  2. Наличие команды. Например, внедрить политику информационной безопасности.
  3. Назначение ответственного. В приказе должен быть указан ответственный за выполнение сути приказа, например, в случае политики – директор по ИБ.
  4. Наличие сроков. Тут все очевидно. Например, доведение до сведения всех сотрудников Политики ИБ в течение 2-х дней.
  5. Наличие контролирующего. Эту часть часто забывают, но крайне желательно указать, за кем закрепляется контроль над исполнением сути приказа. Обычно он либо остается у генерального директора, либо передается ответственному.

Приказом вводится все – от режима защиты персональных данных до утверждения форм отчетности. Делать ли разные приказы на каждый чих или единым пулом – зачастую дело вкуса. Если все вводить отдельными приказами, то внедренные документы проще будет менять. Если единым пулом, то проще согласовать и подписывать.

Политика

Наконец, мы добрались до Политики. В нашей традиции это относительно новый документ, в отличии от других, представленных здесь. Особенностью Политики является то, что она описывает процессы. Например, процесс обеспечения информационной безопасности.

Политика может и должна выдвигать требования к функционированию процесса, может описывать требуемое обеспечение и исключения.

Используя отечественный подход, вы можете создать политику любого объема. Главное, не надо превращать Политику в описание задач и распределение ответственности между исполнителями, для этого есть Положения и Инструкции.

Положение

В отличие от Политики, Положение как раз направлено на регулирование деятельности людей и подразделений. Положение, в общем случае, регламентирует порядок образования, права, обязанности, ответственность и организацию работы структурного подразделения (должностного лица, совещательного или коллегиального органа), а также его взаимодействие с другими подразделениями и должностными лицами.

Т.е. фактически Положение очень редко применяется к процессам, но будет весьма уместно в виде «Положение о Департаменте информационной безопасности».

Регламент

Регламент – самый противоречивый документ. Я встречал компании, в которой были только разнообразные Регламенты. Надо понимать, что в своей сути регламент – временный документ, во всяком случае в информационной безопасности. Это то, что сейчас модно называть «дорожной картой». Регламент, в отличие от Политики и Положения, определяет конкретные шаги и сроки их исполнения.

А раз есть сроки, Регламент мало применим к непрерывным процессам, например, обеспечению безопасности всей компании или обеспечению контроля качества. Т.е. может быть «Регламент внедрения политики безопасности», но лучше не делать «Регламент информационной безопасности».

Инструкция

Инструкция – самый последний в иерархии, но не по значимости документ. Инструкция описывает конкретные шаги, что надо делать в той или иной ситуации, или наоборот, то, что делать не надо никогда. Самый знаменитый пример инструкций обоих типов – Устав внутренней службы Вооруженных Сил.

Инструкции не привязаны к какой-то конкретной структуре, и, пожалуй, главным требованием является понятность и удобство чтения.

На этом хотел бы закончить, надеюсь, вы дочитали до конца. Не повторяйте моих ошибок и знайте значение документов.

Феминизм в поИБэ

Всем добрый день. Прошлая моя запись про сексизм в ИБ вызвала некоторый резонанс, мне многие писали со словами поддержки и одобрения. Хотелось бы осветить и другую сторону проблемы, то, что сейчас поражает наше общество, и ИБ в частности, раковой опухолью. Я говорю о феминизме.

Ввиду некоторых особенностей пубертатного возраста меня бросало во всякие крайности. Я посещал секты, придерживался неонацистских взглядов и тусил с сатанистами. Как говориться – есть что вспомнить, нечего внукам рассказать. Одним из немногих достоинств всего этого была встреча с людьми самых разных взглядов и мнений, в том числе маргинальных. И везде, даже в каждой самой маленькой тусовке, я видел удивительное единство мнений по поводу феминизма (мб за исключение ЛГБТ, т.к. ничего о них не знаю). И это мнение можно было выразить лишь одним словом НЕНАВИСТЬ!!!1111 Даже геи вызывали меньшей антипатии, т.к. адекватных (те, кто не пропагандируют) в такие места не заносило, а неадекватных (которые пропагандировали) быстро отовсюду выгоняли.

Вторым достоинством было то, что «начинаешь разбираться в сортах дерьма». Я уже рассказывал, что все подобные группы очень ревностно относятся к определенным признакам, зачастую незначительным на первый взгляд. Например, спросите коммуниста, поддерживает ли Сталина.

Так почему же феминисток все так ненавидят? Немного углубившись в историю и послушав, что говорят сами феминистки, мы придем к выводу, что сейчас мир захлестнула третья волна феминизма. Если кратко, в самом начале женщины боролись за равные законодательные права. Женщины должны владеть имуществом и правами наравне с мужчинами. Это было все еще не очень хорошо, но глобальный шаг вперед. Традиционные общества, где женщина не считалась за человека, получили первый удар. Это была первая волна феминизма.

Вторая волна решила расширить занятый плацдарм и направить наступление на личные отношения, работу и семью и т.п. Таким образом, к концу волны, а это 90-е года прошлого века, мы получили образ современной женщины. Полноправную личность, которая может достичь того, чего хочет, наравне с мужчинами. И было нам всем счастье. Но длилось оно не долго.

Тут надо сделать лирическое отступление о «мужской тирании». В демагогии есть такой прием – придумать не соотносящийся с реальностью фуфел и яростно его ниспровергать. На протяжении всей истории мужчины и женщины бок о бок боролись за выживание. Болезни, голод, смерть. Главное слово – вместе. Все наше различие сейчас не строится на власти, или во всяком случае не так, как это представляется.

Новое поколение феменисток заявляет, что мужчины владеют большим количеством богатства и капиталом. Но забывают,  что это лишь незначительная часть. Вот небольшой список вещей, где мужчины преобладают над женщинами:

  • Количество самоубийств;
  • Жертвы преступлений;
  • Количество сидящих в тюрьмах;
  • Бездомных;
  • Погибшие в войнах;
  • Даже среди худших учеников и так можно продолжать бесконечно.

И где же тут господство? Почему эти фурии выбирают малую часть очень успешных мужчин и используют ее, чтобы определять всю структуру нашего общества? В чем тут логика? Не тот ли это самый демагогический фуфел?

И все это можно было бы оставить на уровне маргинальщины и форумных обсуждений, если бы современные феминистки не пошли дальше. Вот гипертрофированный пример.

Феминизм – это ни когда женщина главнее мужчины. Это называется матриархатом. Феминизм — это движение за права женщин против их дискриминации по половому признаку. Это значит, что у женщин не должно быть меньше политических, экономических и гражданских прав просто потому, что они женщины. Этот феминизм я поддерживаю всеми руками и ногами, именно этих принципов я стараюсь придерживаться в повседневной жизни и на работе.

Но когда эти женщины начинают везде кричать о мужском шовинизме, требовать введения новых слов («гендерно нейтрального языка») или изменения порядка использования существующих. Например, в английском слова humanity и mankind используются для обозначения всего человечества, но второе слово — mankind — восходит к слову man «мужчина», и потому использование слова humanity феминистки считают предпочтительнее, так как оно восходит к гендерно нейтральному слову «человек». И это еще цветочки. Т.к. большинство завоеваний женщины добились в период второй волны, осталось мало места для маневра. Поэтому особо пылким пришлось перекинуться на личную сексуальность и гендер в целом.

Например, была придумана квир-теория. Если кратко, наш пол и сексуальная ориентация не столько определяется биологическим полом, сколько окружением. По такой теории все мы должны быть строго гетеросексуальными, т.к. таких у нас подавляющее большинство. Но разделы теории почему-то фокусируются на таких темах, как бисексуалы, лесбиянки, геи, трансвестизм, трансгендерность, интерсекс, гендерную двусмысленность, хирургическую коррекцию пола и т.п. На какую современную активистку фем-движения не посмотри, так она кто угодно, но не гетеросексуалка. Видимо, обычных гетеро-женщин из движа выгоняют.

С совсем фанатичками можно говорить лишь на языке фактов (жаль, что их не слышат). Мужчины тоже испытывают дискриминацию. Например, почему к женщинам не применяют смертную казнь. Или почему с момента зачатия мужчина лишается всех репродуктивных прав? Как только женщина беременеет, все права передаются ей одной. Только она вправе решить, сохранять беременность или нет. И если мужчина не хочет быть отцом, ему все равно придется им стать, если женщина того пожелает. Конечно, она не может заставить мужчину воспитывать ребенка, но она может признать его отцовство через суд и потребовать алименты. А если женщина не хочет — она вправе сделать аборт, не спрашивая мнения мужчины. То есть и отцом он стать не может по своему желанию.

Можно продолжать бесконечно. И не было бы проблем, но все это выплескивается и в обычную жизнь. Я уже рассказывал о секции на CISO форуме «Женщина в ИТ». Но не говорил, что на ней было. А там была представлена явная сегрегация – мужчины отдельно, женщины (в первую очередь) отдельно. У нас уже появляется информационная безопасность для женщин. Это не потому, что безопасность нужна женщине, а потому что она женщина.

В последнее время все чаще эксплуатируют этот тезис – потому что она женщина. И я понимаю, когда речь идет о специфических вещах, например, специальных средствах гигиены. Но зачем вы лезете марать профессиональные темы? Почему нас все еще культивируются эти предрассудки? Не играй в машинки — ты девочка? Почему все это не основывается на банальном профессионализме и компетентности? Когда у вас засоряется туалет, вы вызываете сантехника. И в подавляющем большинстве случаев это будет мужчина. Это не потому, что есть тирания глобального мафиозного клана сантехников. Скорее всего он лучше и экономически выгодней.

Я помню серию репортажей, когда началась уберизация такси о женщине водители. О, боже, какая она смелая, как ей тяжело, ай-ай-ай. Ау, люди, она водитель. Женщины могут водить машину, доезжая до магазина, почему же они не могут зарабатывать, водя авто? Если вы такие эмансипированные женщины – идите в грузчики.

Вы, наверно, помните историю с Варварой Шубиной и Аной Мавричевой. Одной из причин моей реакции на вопрос была подача. «Ой, девочки, что расскажу. Тут есть девочка, она такая крутая, и готова вас сделать крутыми». Чувствуете уклон, да? Девочки отдельно, потому что ездят на единорогах, мальчики отдельно, потому что «плохо пахнут». Может быть, если бы это был обычный бизнес-тренер – да и шут с ними, кто я такой, чтобы запрещать людям потерять свои деньги? Но об Ане в другой раз.

В заключение хотел бы сказать, что определенная асимметрия в мире и взаимоотношениях полов есть, но тогда бы он не был так пленительно притягателен, а был бы выверено строг и скучен. Возможно, женщины зарабатывают чуть меньше, а мужчины выходят на пенсию позже и умирают раньше. Это можно продолжать до бесконечности. Главное — взаимное уважение всех сторон.

Мира всем.

От форума к видео – путь графомана

Всем добрый день. Если вы любите рисовать буковки на бумаге или пиксели на экране, а особенно, когда это складывается в какие-то законченные мысли, вы рано или поздно придете к решению поделиться этим с окружающими. Причины могут быть самые разные — от банального любопытства до профессионального интереса. А если вы в добавок графоман, как я, то у вас вообще нет выбора.

Я прошел все стадии от анонимного блога до написания профессиональных статей, а недавно появилась вишенка на этот слоеный пирог. Теперь я с уверенностью могу сказать, что пробовал все способы самовыражения, который предоставляют современные технологии. О чем и хочу рассказать.

Форумы

Самая простая начальная стадия. Нет ничего проще, чем под настроение поучаствовать в какой-нибудь дискуссии на сотни страниц. А количество пользователей и административная иерархия добавляют различные вкусы в это блюдо. Вы можете выбрать любую роль от эксперта по выращиванию хризантем до ревностного оппонента администрации форума.

Мое активное участие на общенаправленных форумах пришлось на 2000-2008 год. Мне даже удалось стать администратором из народа на форуме в 100 тысяч человек, где творился чад кутежа, интриг и всей той вакханалии, которую творят молодые люди, имеющие неограниченный доступ к компьютеру.

Затем я основал и долго админил узкоспециализированный форум, который жив и поныне. С прискорбием должен сказать, что форумы умирают. Жизнь теплится в каких-то определенных областях, где форум удобен, как платформа, но сейчас уже нет интересных форумов общей направленности.

Форумы все еще остаются замечательной песочницей для оттачивания своих навыков. Форумы дают замечательную анонимность. В конце концов, форум вы всегда можете забросить, но память останется в веках, особенно, если вы писали что-то дельное.

Личный анонимный блог

Личный блог становится следующей стадией. Свой первый блог я открыл в 2003 году в ЖЖ и вел еще один на форуме. Оглядываясь назад, сложно сказать, зачем мне нужны были два блога. Но что было, то было. Блоги – это уже следующая стадия социализации, тут у вас появляются друзья по интересам. Если сохранять должную цифровую гигиену, то можно быть неузнанным все время использования.

Проблема кроется именно в анонимности. Если вы хотите славы, пусть и в узких кругах – это не ваш вариант. Рано или поздно произойдет деанонимизация, что может сказаться на вас негативно, вы ведь ведете анонимный блог. Последствия этого могут быть самые разные. И, конечно, будет крайне ограничен круг ваших тем, например, вы вряд ли сможете писать на профессиональные темы. Если же вас именно это интересует, то вам поможет следующий раздел.

Надо признать, что личные блоги на известных платформах умирают вместе со своими платформами. Сейчас практически нет удобных соцсетей для периодического ведения блога. Да, ЖЖ подходит идеально, но он умер. А Вконтакт с Фейсбуком все же несколько для другого.

В прошлом году после 15 лет работы я закрыл свой анонимный блог.

Профессиональные статьи на заказ

Если вы достаточно профессиональны, рано или поздно вам предложат написать статью на заданную тему. Это уже качественный шаг вперед. Проблема в том, что вы жестко ограничены темой. И редактор, составлявший план, крайне смутно может понимать вашу специфику. Тогда вы будете писать про программы слежения за сотрудниками. Но если ваш материал будет интересен или качествен, вам могут дать некоторую свободу в освещении темы.

Обычно такие задачи прилетают с крайне сжатыми сроками и конкретными требованиями к объему. Например, 9000 знаков за 2 недели. Как вы понимаете, за это не платят. Но если вы захотите пойти по пути евангелиста вашей области, человека, который продвигает и пропагандирует определенные направления, это будет хорошим стартом. Рано или поздно вы сможете стать специализированным пиарщиком и лидером мнений. Например, в области информационной безопасности такой путь прошел Алексей Лукацкий.

Если чувствуете в себе силы, можете попробовать.

Литературное негритянство

Если в статьях на заказ вы пишете на заданную тему, то, став литературным негром, вы еще и будете получать за это деньги. Литературный негр пишет под именем другого автора, заказчика работ. Обычно это внушительные по объему материалы, в моем случае это была книга по экономическому анализу (120 страниц А4)

Обычно данное явление распространено в сфере журналистики и других сферах, связанных со словом. В нашей ИТ сфере с этим все несколько хуже. Где и как вы найдете заказчика — тайна великая есть. Сам я на это подписался совершенно случайно, услышав разговор в коридоре. Денег тогда платили нормально – 2,5 моих зарплаты. Как сейчас с этим — не знаю.

Направление крайне специфическое, время идет, сил заниматься этим не хватает, особое мнение заказчика надо учитывать. Когда я через 6 месяцев сдал исходник, у меня словно гора с плеч свалилась. Я даже не знаю дальнейшую судьбу рукописи, вроде как ее издали, и меня даже взяли в соавторы.

Занятие на ваш выбор.

Корпоративное обучение

В определенный момент вас могут выдвинуть на проведение очных обучений ваших заказчиков. Вы что-то создали, и теперь должны обучить пользователей это использовать. Надо сказать, что штука это довольно обременительная, т.к. зачастую обучение происходит среди людей, далеких от ИТ и ИБ. Первым моим опытом было обучение всех школ Москвы основам защиты персональных данных. Тогда я объездил все округи, где в зале собиралось по 200-300 человек, где должен был рассказать, что теперь им работать придется больше, а платить им будут столько же. Один раз меня чуть не побили в СВАО.

Если обучения вам избежать не удается, то вам поможет хорошее знание темы. В случае любых конфликтов вы всегда можете сослаться на то, что вы просто исполнили заказанную работу. И уж точно вам удастся раскачать навык публичных выступлений.

Наверно, самый спорный вид самореализации – все же учить должны педагоги или люди с профильным образованием.

Корпоративные выступления на конференциях

Это следующий шаг, когда вы не просто выражаете свои мысли письменно или находитесь в лояльной аудитории, как с обучением, но доносите необходимое до широкой аудитории. Это классика публичных выступлений, идти или не идти в которую каждый должен решать самостоятельно. Обычно направляет на такие выступления работодатель, реже вендор.

Каждому выступающему в самом начале надо решить следующие задачи:

  • Интересная тема (хотя бы не банальная);
  • Слайды. Это является отдельным искусством, о котором можно говорить долго и увлеченно.
  • Текст выступления. Его необходимо знать хотя бы в общих чертах, чтобы не читать без бумажки.
  • Тайминг. Неприятный факт, что можно и не успеть в отведенные 10-15 минут донести необходимую мысль, или наоборот быстро отстреляться и оставшееся время ждать вопросы от аудитории.
  • Внешний вид. Публичные выступления довольно требовательны к внешнему виду, хотя сейчас наметилась тенденция к упрощению, можно читать хоть в толстовке.

Советую попробовать каждому хотя бы раз, после этого вы точно будете знать – развиваться ли в этом направлении дальше или забросить это дело.

Интервью конференции

Выступить, пусть и под запись, может большинство. Но вдруг вас ловит журналист, нанятый организаторами, который хочет взять флеш-интервью. Вот одна из моих первых попыток:

Здесь было все ужасно. Адреналин бьет через край, парализуя мозг. Через 5 лет все случилось ненамного лучше.

Главная проблема интервью, что вы чаще всего вы к ним совершенно не готовы. Представьте ситуацию: вы только выплеснули всю энергию, а каждое выступление — это стресс, если, конечно, вы уже не сделали сотни выступлений, а тут вас застают врасплох, надо срочно сконцентрироваться, ведь вас снимаю и точно это где-то покажут. Интервью остаются для меня самым сложным испытанием.

Экспертные мнения к новостям

Когда вы станете довольно известны в своей области, к вам периодически будут прилетать запросы на комментарии. Мне прилетали запросы на комментарии по актуальным темам еще пару лет, как я уволился.

Происходит это так. Журналист хочет осветить свежую новость, и, чтобы усилить эффект, хочет собрать мнения экспертов. Как вы понимаете, это довольно непростая задача, эксперт может быть занят, в отпуске, ничего не понимать в теме новости.

Эксперту тоже не сахар. Новости может быть 2 часа жизни, а вы уже должны мало того, что знать суть, так еще и охватить смежные области, часто сделать прогноз, и все это за 30-40 минут, т.к. материал пора публиковать. И, разумеется, желательно, чтобы ваше мнение было еще оригинальным. Один раз я 30 минут сидел в машине в Пушкино, написывая через смс свое крайне «компетентное мнение».

Выглядит это примерно вот так.

А еще бывает такая крутая штука, как «эксперт, решивший остаться неизвестным». Это когда мнение необходимо, но персонализировать его по каким-либо причинам нельзя. По самым горячим темам 2014-16 годов можно найти самые неожиданные мнения, особенно, если знать, кто «пожелал остаться неизвестным».

Профессиональные статьи со свободной темой

Собственно, это развитие статей с заданной темой. Если вы хорошо себя зарекомендовали, даете качественный контент, вам могут дать карт-бланш на заполнение пустых полос. Это вершина письменного профессионального творчества.

Если вы достигли этой точки – поздравляю, я до нее пока не добрался.

Личные выступления на конференциях

А это, как понятно из названия, вершина личных выступлений. Когда вас рады видеть на любой конференции, чтобы вас послушать. И могут оплатить перелет, проживание и развлекательную программу. В области ИБ таким, например, является Рустэм Хайретдинов, которого можно слушать всегда и везде, чтобы он не хотел рассказать.

Личный профессиональный блог

Самая переоценная категория в отличие от анонимного – вы можете писать на свою профессиональную тему. И вас начнут воспринимать как эксперта. Проблема профессиональных блогов в том, что темы-то заканчиваются. И если в ИТ есть еще какое-то развитие, то в ИБ вы будете кидаться на любой информационный повод, на любой проект постановления правительства, и тоже самое будут делать ваши коллеги. Тлен и безысходность.

Если все же отважитесь, то вам необходимо быть экспертом в заданной сфере и давать неожиданный взгляд на текущую ситуацию, чтобы быть не как все.

Личный полу-профессиональный блог

Я поставил полу-профессиональный блог выше профессионального из-за более широкой сферы тем. Именно поэтому я перевел свой блог с прямых рельс информационной безопасности на более общие темы.

Как вы понимаете, в данном случае вы публичны дальше некуда. И много сказанное вами будет использовано против вас в самых неожиданных местах и формах. Например, некоторые корефеи до сих пор язвят по поводу Дошираков, хотя это была просто работа.

Если не боитесь, то это лучший из вариантов для удовлетворения своих потребностей в графоманстве.

Аудио-подкасты

Аудио-подкасты у нас как-то особо не взлетели. Все же большинство людей визуалы, т.е. воспринимают картинку глазами. Поэтому самым удобным способом юзать подкасты – слушать в машине или в транспорте в наушниках.

Сами по себе подкасты предъявляют повышенные требования к теме и выступлению, но проще в реализации, записывать их можно хоть в трусах. Большим плюсом является наличие ведущего и других гостей, с которыми можно завязать диалог и улучшать качество контента.

Крутой формат, всегда с удовольствием участвовал, но проблема использования стоит во все поля.

Теледебаты

Те же подкасты, но с картинкой. А, следовательно, сюда добавляются требования, как и к выступлению на публике – тема, слайды, выступление и т.п. Мне удалось поучаствовать в первом сезоне Кибербаталий от Infowatch. Где каким-то чудом я выиграл приз зрительских симпатий. Но это было крайне сложно. Я бы не рекомендовал участвовать, если вы не пробовали большинство из предыдущих пунктов.

Сам я не высоко оцениваю свое выступление, сейчас бы я все сделал по-другому.

Новости

Прохождение всех предыдущих стадий у меня заняло 19 лет, с момента первых форумов и блогов. И вдруг каким-то чудом меня утвердили читать корпоративные новости. Приятная неожиданность быстро сменилась легкой тревогой на подготовке – новости надо было заучить. Это не рифмованные стихи, это пресс-релизы, а слово «гиперконвергентной» я теперь могу выговорить без запинки (и, надо сказать, записали мы эту новость быстрее всех).

Но самый ад начался на записи. Интервью — пыль по сравнению с новостями. Оказалось, камера выпячивает все недостатки, которые у вас есть. Как визуальные, так и артикуляционные. Первый выпуск мы записывали 3 часа, это 3 часа стоя на ногах с порванным мениском (незадолго до этого меня сбила машина). Мой язык к тому моменту совершенно меня не слушался, и я был готов бросить все и убежать, и никогда больше с этим не связываться. Все же я никогда не учился на диктора, и вряд ли когда-нибудь смогу, начав с середины жизни.

https://www.facebook.com/LANIT.life/videos/1121716011342443/

Если вы все же решитесь, будьте готовы к тому, что хоть вы и говорящая голова на экране, но за этим стоит большая работа множества людей. И они будут предъявлять определенные к вам требования, это зачастую нелегко. Вам может казаться, что вы сделали супер, но ваш режиссёр будет наседать на вас, пока не добьется превосходного результата.

Надеюсь, вам было интересно плавать по волнам моей памяти. Как вы заметили, я совсем не касался причин той или иной деятельности. Вы можете хотеть продвинуть личный бренд, как сейчас модно говорить, или поделиться опытом – не принципиально. Но это уже тема отдельного большого разговора.

А на сегодня все. До новых встреч.

Как сделать стандарт за 10 дней (авторская версия)

Всем привет. Хочу рассказать вам историю о том, как я делал методические рекомендации Минздрава (500 страниц с нуля за 10 дней), сделанных ошибках и сложностях, которые не были преодолены. Надеюсь, мой опыт поможет всем, на кого свалилась задача написать руководящий документ, стандарт или закон.

Источник

Месяц до дня Х

2009 год в безопасности персональных данных был годом предвкушения. Ходили упорные слухи, что 152-ФЗ «О персональных данных», принятый в 2006 году, вот-вот станет обязательным для исполнения. С момента принятия рынку и операторам было дано время подготовиться к обязательному исполнению закона, и время подготовки истекало. 2010 год виделся годом большой работы, но закон вступил в окончательное действие лишь в 2011, но этого еще никто не знал (а потом еще пару лет не верили, что приняли)

Предвидя огромную организационную работу, многие ведомства решили начать готовиться заранее. Одним из первых было Минзравсоцразвитие (сейчас Министерство здравоохранения), которое курировало огромный пласт операторов персональных данных повышенного внимания (информация о здоровье) – медицинские учреждения (для краткости будем называть их ЛПУ – лечебно-профилактическое учреждение).

И т.к. в ЛПУ, ввиду очевидных причин, слабо развито ИТ, не говоря уже об информационной безопасности, то было принято решение создать для всех ЛПУ стандарт по защите персональных данных, которым могли бы пользоваться люди, далекие от безопасности и ИТ.

Т.к. в то время большинство руководящих документов по защите персональных данных были недоступны широкому кругу лиц (действовало так называемое «четверокнижение» с грифом ДСП, которое могли запросить только лицензиаты), то вариант с созданием подробных методических рекомендаций был оптимальным.

Я же в 2009 году занимался информационной безопасностью всего несколько лет и был на уровне опытного джуниора. С багажом в пару проектов по персональным данным (что в то время было большим опытом, т.к. очень сложно убедить заказчика выполнять необязательные требования) и в жесткой схватке с одним крупным НИИ, работа по созданию стандарта досталась мне.

Источник

Неделя до дня X

За неделю до начала работ я обсуждал с руководством предстоящую задачу. Планировалось, что ее будет делать другой специалист, но в итоге она досталась мне. Надо упомянуть, что, будучи молодым в профессиональном отношении, я действовал по принципу «слабоумие и отвага». Думаю, это свойственно всем специалистам на определенном этапе карьеры. И именно этот принцип сыграл ключевую роль во всей работе.

Забегая немного вперед, отвага заключалась в атаке «с шашками на танки» силами одного специалиста на такую масштабную работу. Уже значительно позже я делал похожие работы, возглавляя различные по численности группы (от 2 до 6 человек). И если уж говорить об оптимальной численности команды, то оптимальное количество людей 1-2 человека, не считая привлекаемых специалистов, вроде технических писателей. 1-2 человека – это лучшее соотношение по производительности и достигаемому эффекту. Например, команда из 5 человек подобную работу делала 9 месяцев.

Слабоумие же заключалось в указанных мною сроках работы (10 дней, которые вместо рабочих стали календарными), и непонимания всей широты проблем, которые могут возникнуть. Именно недооценка сложности чуть не стала роковой. В тот раз отвага победила, но путь ее был труден.

Источник

1-3 день работы

Поскольку ничего подобного я раньше не делал, решил воспользоваться имеющимися методиками создания документов. Вспомнив самый масштабный документ, который я написал к тому моменту – мой диплом, я решил начать с начала и закончить в конце.

Первым документом были «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости». (Кстати, все документы можно найти в Интернете). С моделями угроз я работал больше всего, и эта задача была самой понятной. Это было первой ошибкой.

Если не вдаваться в подробности, мне необходимо было описать три последовательные стадии защиты персональных данных:

  1. проведение обследования,
  2. составление модели угроз,
  3. создание комплекта организационно-регламентирующих документов.

Разумеется, я начал описывать с середины, что вылилось в большие проблемы на 7-10 дней.

Второй ошибкой было использование последовательного принципа написания документов. Это когда сначала титульный лист, потом оглавление, список сокращений, вводная часть и т.п. Это не работает, в определенный момент вы обязательно встанете в «креативный тупик», чаще всего он наступает на 3-5 разделе, когда вам понятно, откуда вы вышли и куда хотите прийти, но не понятно как.

Забавно получилось с сокращениями, которые сразу же были сделаны. Чтобы была хоть какая-то преемственность с текущей нормативной базой, я скопировал сокращения из документов регулятора, и там осталось сокращение «ТКУИ – технические каналы утечки информации», которое в тексте нигде не встречается.

Лайфхак: чтобы сделать список сокращений актуальным, во время написания применяйте три простых действия:

  1. Как только вам потребуется сделать сокращение, пишите в формате «(далее – )». Например, обязательное сокращение в тексте (далее – ОСТ).
  2. Держите открытым отдельный файл Exсel, куда заносите все сокращения (можно без расшифровки).
  3. Когда текст будет написан, ранжируете в экселе перечень от А до Я и смотрите количество, а в тексте поиском ищете вхождение «(далее – )». Если числа совпали, поздравляю – у вас актуальный перечень сокращений.

Работая с сокращениями, не используйте больше трёх букв. Все отличное от этого выглядит ужасно и плохо запоминается. По крайней мере, в безопасности, где, как и в армии, верховодит всем ТБС.

Результат: 1 файл объемом 20 страниц и несколько табличек в Exсel.

4-6 день работы

После первых дней спокойного режима пришлось окунуться в бассейн кофеина и никотина. Во-первых, была сделана здравая работа – прочитано техническое задание. В принципе и раньше было понятно, что необходимо делать, но важны были детали.

Ключевыми словами были «методические рекомендации», т.е. последовательность действий для людей, слабо знакомых с предметом. Это будет либо главный врач ЛПУ, либо секретарь. Поэтому я решил, что нужно описывать все возможные варианты, чтобы пользователь не имел права на неопределенность: либо красное, либо зеленое, либо теплое, либо мягкое.

В этот момент я работал над моделью угроз и сразу сделал таблицы для всех возможных типов информационных систем (их у меня было 10), написал угрозы и делал другие непонятные вещи, интересные лишь в контексте защиты персональных данных.

После указания названий угроз в табличке стало понятно, что где-то должно быть общее описание самих угроз, затем – что наши 10 видов информационных систем тоже неплохо где-то описать. Так, двигаясь шаг за шагом, наполнял документ.

В процессе работы пришел к принципу «обратного движения», когда в начале пишется результат, являющийся сутью и целью документа, а потом итеративно все, что должно к нему привести.

В общем случае:

  • результат;
  • методика достижения результата;
  • описание.

Принцип оказался довольно живуч. С помощью него можно писать отчеты, начав с выводов, или политики информационной безопасности, начав с основных мероприятий.

Уже гораздо позже я дополнил этот метод концепцией «улучшенного JPEG», которая говорит, что работа в зависимости от срока всегда должна быть готова на 100%, разница лишь в степени детализации. Если кто застал времена небыстрого интернета, то обычный JPG отображался по мере загрузки (тот самый последовательный способ написания документов) сверху вниз, а картинку JPEG загружал всю целиком и улучшал ее четкость.

Одна беда – применение концепции «улучшенного JPEG» в лоб не работает для сложных документов (по крайне мере у меня). При прямом применении вы в новом документе создаете разделы и пишете, о чем они, расширяя описание по мере проработки. В стандартах и хитрых методиках это не работает, с чем я столкнулся на следующем этапе.

Дело в том, что нельзя все предусмотреть заранее. Концепция изложения может несколько раз меняться в процессе, причем меняться кардинально. Поэтому, если наполнять документ чем-то большим, чем заголовки (например, давать пояснения и т.п.), то в итоге вы придете к тому, что надо не просто переставить несколько предложений местами (те самые заголовки), а править, расчленять и дополнять те самые пояснения. Поверьте, это очень муторно.

Поскольку методические рекомендации, описывающие все возможные исходы однотипны, они должны совпадать по структуре и логике описания. Странно же будет выглядеть, если в одном типе будет структура системы, а в другом – нет. И вообще, если у пользователя будет два типа информационных систем, у него меньше возможности запутаться в одинаковых по структуре описаниях.

Сказано – сделано. Я взял самое подробное описание, которое у меня было, для системы, которая включала всё (в моём случае распределенная информационная система II типа), и копипастнул на другие типы. Я рассудил, что удалить лишние (а другие типы систем были подмножеством распределенной ИС II типа) проще, чем дописывать. Разумеется, это оказалось не так. Пришлось не только удалять лишнее, но и дописывать особенности конкретного типа. В итоге на проверку, перепроверку и отлов противоречий ушла уйма времени. В последующих работах я стал действовать ровно наоборот – описывать минимально необходимое, добавляя специфику.

На создание модели угроз ушло 5 дней, и я приступил ко второму документу.

Наученный горьким опытом, в первую очередь создал приложения, которые пользователи должны будут под себя заполнять, а потом приступил к описанию, как это заполнение организовать.

Результат – готовая методика по моделям угроз плюс половина приложений.

7-9 день работы

Это было время эйфории, план в голове сложился, осталась чисто механическая работа – только и делай, что добавляй приложения и описывай грамотно. Беда пришла откуда не ждали, даже две.

Источник

На оформление и переоформление кучи документов я убил значительную часть времени. Хотелось все сделать красиво, поэтому я сразу проставлял еще и внутренние ссылки на разделы и внешние файлы. Разумеется, как только возникала необходимость в корректировках (приложение новое вставить, документ переписать и т.п.), все это влекло за собой переделку всего оформления.

Не помню, о чем я тогда думал, но мне казалось это таким важным, что после каждого структурного изменения я занимался оформлением и перестановкой ссылок. Наверно, мне казалось, что вот это-то изменение точно будет последним, сейчас быстро переделаю и пойду другим заниматься.

С приобретением опыта я стал делать цветные заглушки. Ссылка на раздел 4, приложение 5 (отследить номер) и т.д.

Второй бедой стала терминология. Согласование терминов и определений по всем документам отняло много времени. Постоянно приходилось рыскать по страницам для уточнения той или иной формулировки (я делал все на одном мониторе, и, поверьте, это было нелегко). Это неизбежное зло, постепенно ваш словарный запас пополнит соответствующей тяжести канцелярит, и большинство определений у вас будут согласованными.

На девятый день работы все было готово – два файла рекомендаций с приложениями. Оставалось доделать мелочи.

10 день работы

Доделав мелочи, я решил перечитать все еще раз – поправить ошибки, отловить мелкие косяки и т.п. И тут мне захотелось сделать свою работу еще лучше, чтобы было понятнее. Решил отразить в описании угроз информацию из итоговых таблиц (все эти «реализация угрозы является маловероятной»). Зачем? Почему? Вот захотелось.

Я начал добавлять, одно стало цеплять за собой другое, а тут результирующие таблицы неплохо бы поправить… Казалось, стало более красиво, но задача вычитки была полностью провалена. Поэтому не стремитесь к совершенству, что-то улучшать можно бесконечно, но вряд ли это кто-нибудь оценит.

А на вычитку время и силы надо обязательно оставить. Именно поэтому оптимальное количество человек в команде – два. Больше не стоит. Когда через полгода аналогичную задачу для образования решали пять человек, мы убили кучу времени на согласования, притирку частей, написанных разными людьми, общую терминологию, вычитку и т.п.

Источник

Если вы — титан мысли, то можете попробовать работать в одиночку. Но учтите, что когда напишете 500 000 знаков, у вас замылится глаз и будет казаться, что вы читаете одно, а по факту написано совершенно другое. Смешно и грустно.

Работу я сдал в срок и пошел спать. Уже потом надо было согласовывать документы с регулятором и править ошибки. В итоге данные рекомендации разошлись широко и отдельные части присутствуют в подавляющем большинстве комплектов документов по персональным данным. После я делал аналогичную работу для образования и атомной энергетики. Но это уже совсем другая история.

P.S. Краткая памятка для отважных

  1. Читай техническое задание.
  2. Не нарушай последовательность стадий работы.
  3. Внутри стадии двигайся от результата к методологии, а потом к определениям.
  4. Дополнять малое проще, чем сокращать большое.
  5. Занимайся оформлением в последнюю очередь.
  6. Ссылки внутри документа проставь на предпоследнем шаге.
  7. Удели время перепроверке.

Источник

P.S.S.

Вы прочитали неполиткорректную (авторскую) версию. Политкорректная версия размещена на Хабре.

P.S.S.S.

Вторая часть

О безопасности мужчин в преддверии 8 марта

Эх, свобода. Оказывается, когда тебе не надо каждый день ходить на работу, образуется такое неимоверное количество дел, что задаешься вопросом – где ж они раньше-то были? И не успело пройти 23 февраля, как уже маячит на носу 8 марта. По сему этот пост только для мужчин.

man_save

Многие воспринимают безопасность довольно прямолинейно – безопасная еда, безопасные игрушки, безопасные машины, еда без ГМО и т.п. Т.е. это барьеры, ограждения, срезание острых углов, бррр. Например, опасно есть в фастфуде, но иногда ведь хочется съесть какую-нибудь гадость, правда?

Лично я рассматриваю безопасность как понимание риска (опасности) тех или иных действий. Это отнюдь не значит, что надо действовать все время безопасно, иначе жизнь ваша будет похожа на фруктовый кефир. Просто надо разумно подходить к риску. Информация, ее обработка и применение, наконец, вольются во все области жизни. Думаю, скоро специалисты по безопасности станут также править миром, как юристы. Я верю в это.

Текст только для мужчин (18+)

И, так как, скоро будет 8 марта, я хотел бы поделиться информацией для нас, мужиков. Разумеется, она непосредственно связана с женщинами. О, эти коварные создания. Но нет, разговор, не о них. И не об отношениях. Хотя есть обоснованное мнение, что все действия самцов (мужчин) подчинены завоеванию самок (женщин). Например, этим можно объяснить чуть ли не все войны на земле.

Все в банальной разнице между мужчинами и женщинами. Мы проявляем естественную склонность к экстенсивной системе воспроизведения. Дело в том, что мы можем производить практически любое количество спермы, а ее отложение нам ничего не стоит. Только лишь, чтобы ее выплеснуть. :)

И потому, наиболее осмысленна стратегия воспроизводства для нас — это оплодотворение любой доступной самки… и особенные старания, чтобы оплодотворить наиболее здоровых, у которых больше всего шансов, чтобы их потомство дожило до зрелого возраста. Эволюция, и ни каких сантиментов. Наиболее разумно, в плане воспроизведения, самец поступает тогда, когда путешествует и копулирует в наиболее широком масштабе. «Мужчина – ходок», знакомо?

Стратегия самки совершенно обратная. Вместо миллионов сперматозоидов, она располагает всего лишь одной яйцеклеткой в месяц (помните – про чайник и чашки?), и каждый ребенок требует вложения колоссальных усилий. Поэтому женщинам нужна стабильность. У них должна быть уверенность, что им хватит пропитания. В течение длительных периодов женщины практически беззащитны, не могут разыскивать и собирать пищу. Женщины не путешествуют, они не совершали кругосветных путешествий и не волоклись в Антарктику пугать пингвинов. Скорее они поселяются и остаются на месте. Если такое невозможно, то самой разумной стратегией будет половая связь с самым сильным и здоровым из доступных самцов. Это вам скажет любой зоолог.

Но гораздо лучше для женщины найти сильного и здорового самца, который останется с ней и будет заботиться о ней вместо того, чтобы шататься по миру и копулировать сколько есть желания. В связи с этим на нас, мужиков, давит с двух сторон. С одной стороны: следует распространять свою сперму, даже насилием, если это необходимо. С другой же стороны: сделаться привлекательным для самок в качестве стабильного кормителя путем подавления стремления к путешествиям и тенденции пользоваться собственной силой. Точно так же и с женщинами. С одной стороны, они должны получить семя самого сильного, самого здорового самца, чтобы их дети унаследовали самые лучшие гены; результатом становится, что для них привлекательны грубые, агрессивные мужчины. А с другой стороны, они нуждаются в опеке спокойных, стабильных мужчин, чтобы дети их имели гарантию защиты и пропитания, чтобы наибольшее их число достигло зрелости.

Если достаточно абстрагироваться, всю нашу историю можно интерпретировать как слепое стремление за генетическим предназначением, которое тянет людей в две стороны. Все наши великие цивилизации, это всего лишь общественные машины, создающие идеальную среду для самок. Там женщина может рассчитывать на стабильность. Юридические и моральные кодексы исключают насилие, гарантируют права собственности, заставляют выполнять договоренности. Все вместе это реализует принципиальную стратегию самок: укротить самца. Но это развитые общества.

Но были и есть варварские племена, живущие без цивилизационного влияния, в основном реализующие стратегию самца: распространять семя. В рамках племени наиболее сильные, доминирующие мужчины берут наилучших самок — либо, благодаря формальной полигамии, либо же путем случайных копуляций, которые другие мужчины не могут предотвратить. Но эти, имеющие более низкий статус, не бунтуют, поскольку вожди водят их на войну, и если в ней побеждают, то могут грабить и насиловать, сколько им влезет. Половая привлекательность завоевывается ими во время войны, когда они доказывают собственную мужественность, убивая всех соперников и копулируя с овдовевшими самками. Жестокое средневековье, но и в то же самое время — осмысленная реализация генетической стратегии.

Вот, такие дела. И одна из главнейших вещей в жизни мужчины – это его мужское здоровье. Для тех, кто уже устал от метафор за этот длинный текст – что бы член стоял. Не хочется говорить, всякие банальности про использование презервативов, ношение теплых труселей и подштанников в минус 30 и т.п.

Надеюсь, половая слабость никого из вас не коснется до самой пенсии. Но если все-таки так случилось, то материал ниже, даст вам пищу для размышлений. Разумеется, если у вас рези при мочеиспускании, ЗППП или еще какая хворь, вам не статьи в интернете надо читать, а идти к врачу. Но, если со здоровьем все в порядке, но часто бывают промашки или не получается – рекомендуют пить таблетки.

Разумеется, не надо пить всякое рекламируемо дерьмо, вроде «Вука-Вука», «Аликапс», «4левел» и прочую муть. Все это в лучше случае БАДы с набором витаминов, маточного молочка и 16 тибетских трав собранных девственницами в кровавую луну.

Сиалис, отзывыЕсть всего три действенных таблетки, инфа 100%. Вы спросите, откуда я это знаю? Что-то сам пробовал во времена пылкой юности, по кул-стори об этом можно написать роман о контрабанде, обман вооруженных патрулей и продажных женщинах в Латинской Америке, в общем, скукота. Что-то рассказал дедушка андролог. :)

  1. Левитра, отзывыСиалор. Мягкое, почти, незаметное действие. Отлично подходит для состояния
    «хочется, но устал». Эффект будет через 20-30 минут. Бывают побочные эффекты.
  2. Левитра. Нормальная рабочая таблетка. И ни каких побочных эффектов. ;) Эффект через 10-15 минут.
  3. Виагра. Самая убойная вещь. Не пробовал, но говорят, если она не помогла, физиологически — вы импотент.

Виагра, отзывыВсе это крайне не дешевые средства. Одна таблетка до 1000 рублей, две за 1500. Столько же стоит 30 таблеток всякого дерьмеца, вроде «Вука Вука».

Есть и бюджетные варианты – дженерики. Дженерик — препарат копия оригинального, с теми же свойствами. В среднем 1 таблетка, в 10 раз дешевле оригинала.

Понятно, что лучше таблетки не использовать. Любовь – лучшая таблетка для потенции. Но если это особый случай, то, иногда, можно.

И напоследок, боже вас упаси, пить это вместе с алкоголем. Может, как и вообще не встать, так и обратный эффект – будете пыхтеть 2 часа без удовлетворения.

Удачного вам 8 марта, берегите себя.

Всего вам доброго.

О планах и как к ним относиться

Хотел бы вам рассказать о моем коллеге по работе – Федоре Горловском. Хотя мы с Федей братья в нелегком деле пресейла и борьбы за квоту, мы ярые антагонисты на идеологическом поле. Главное наше расхождение – планы vs цели. Суть противостояния сводится к следующему: Федор считает, что путь к личному счастью (или хотя мы к материальному) лежит через планирование. И шаг за шагом, этап за этапом вы обретаете счастье. Я, разумеется, ему оппонирую всеми фибрами своего естества. Рассмотрим противоборствующие стороны.

versus

Федор – человек-планировщик. Федя любит учет и порядок. Деловой стиль в одежде и общении. У него есть план(ы) на ближайшие 50 лет, которые он корректирует в зависимости от обстановки. Федя ведет домашнюю бухгалтерию. В свободное время Федя инвестирует в российские и западные компании. Карьерно и финансово успешен.

Ну, себя, распиздяя, описывать не буду, вы и так все обо мне знаете. Главное другое: в итоговом плане мы с Федей одинаковые (плюс-минус). Но идем к этому разными путями. Для меня любое планирование бесперспективно. Не в смысле, что я вообще планов не строю. Просто долгосрочное планирование при недостатке информации все равно, что гадание на кофейной гуще. Я заменяю их целями. Человек-цель.

Возьмем какую-нибудь цель для простоты повествования. Например, купить машину. Человек-планировщик сразу намечает все шаги и подэтапы, определяется с маркой, характеристиками машины, понимает, где он достанет деньги, когда он сдаст на права и т.п.

Человек-цель просто ставит цель купить машину. Не сказать, что у меня нет совсем понимания, как этого достичь. Основные шаги все те же самые (найти деньги, выбрать машину), но они не конкретны. Я готов переставить шаги или отложить цель в зависимости от обстоятельств. Например, свою первую машину я купил совершенно случайно за 1000 долларов и был счастлив с ней 5 лет. А вторую был готов поменять еще 5 лет назад, но забил – мне и так круто.

Как мне видится, главное различие в работе с информаций. Планировщик сидит внутри своих планов и возможных вариантов развития, которые он проработал. Чем лучше планировщик, тем к большему количеству неожиданностей он готов, ну как Госдеп США, у которых есть планы на все случаи жизни. Именно эти люди основные потребители бесчисленной «аналитики» обо всем на свете. Аналитика на основании аналитики.

Но это не исключает, что произойдет что-то (черный лебедь, например), к чему мы не готовы, что похерит к ебеням весь труд по планированию. Это меня просто убивает. Жизнь — она не бесконечная. Понятно, что чем детальнее проработка планов, тем больше похерит. Не верите? Посмотрите на первую версию любого календарного плана по внедрению чего бы то ни было и сравните с фактическими итогами. Сюрприз.

Основное следствие из этого — не стоит слишком серьезно воспринимать и строить планы. Воздушные замки на основании других воздушных замков. Не слишком ли зыбко?

— Хорошо, — скажите вы, — Дима, кул стори. Но к чему это?

Я это к тому, что в блогосфере просто полыхает от планов регуляторов на этот год. Люди, ау. Работать можно лишь с тем, что по факту есть. Как и делать далеко идущие выводы. Помню, как в 2012 все обсуждали бесконечные проекты документов ФСТЭК (в итоге вышли через 2 года) и ФСБ (большинство так и остались проектами). Какие тогда споры велись, сколько бугурта было у экспертов. Сейчас все поуспокоились.

То, что будут новые документы – хорошо. А бугуртить по их поводу – плохо, выйдут – посмотрим.

Всего вам доброго.

P.S. Ставьте лайки, если хотите большей «грязных подробностей» нашего с Федей противостояния.