Архив метки: персональные данные

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №2.

Нашим специалистам удалось восстановить еще одну часть документа.

Общие положения

  1. Совершенно секретноКаждый сотрудник Службы должен знать законодательство Российской Федерации, положения Кодекса об Административных правонарушениях, положения Гражданского Кодекса, положения Трудового Кодекса и других нормативных актов, чтобы свободно ими оперировать в ходе проведения проверки.

 

  1. На проверку возьмите с собой:
    • Блокнот вопросов по проверке (БВП), где отразите дату, наименование оператора и ключевые вопросы.
    • Ручку.
    • Стикеры.
    • Что-нибудь перекусить.
    • Хорошее настроение.

 

Проведение выездной проверки

  1. Всегда приезжайте вовремя, если Ответственного еще нет – прорывайтесь внутрь. Это создаст необходимое настроение в Операторе.
  2. Если Ответственный на месте, попросите провести экскурсию по офису. Скорее всего, он ночевал на работе, и кофеинового заряда ему надолго не хватит. Он будет ошибаться.
  3. Если чувствуете в Ответственном и его команде признаки усталости, расскажите немного о нашей Службе и целях проведения проверок, о вашей собаке. Выматывайте оппонента. Проверка длится минимум 10 дней, куда спешить?
  4. Когда будете на экскурсии, обязательно смотрите по сторонам, обратите внимание на видеонаблюдение, систему контроля доступа и т.п. Если увидите сканер отпечатков или сетчатки глаза – бинго!
  5. Узнайте больше о производственных процессах Оператора. Это может быть и просто интересно — побывать в ЦУПе или на атомной станции. Если там используются персональные данные, пометьте себе в БВП, чтобы проверить их отражение в документах.
  6. Когда вы составили первое впечатление, можно приступать к проверке. Зайдите в отведенную вам комнату, если это хорошо вентилируемая переговорка с кофе-машиной – оператору плюс в карму.

 

Проведение документарной проверки

  1. Если вам досталось проведение документарной проверки, не расстраивайтесь. Радость выездной проверки достается лучшим из лучших. Работайте усерднее и вас обязательно заметят.
  2. Документарная проверка требует точности. Не ошибитесь в названии или реквизитах Оператора. А то придется начинать сначала.
  3. Разошлите Уведомление всем Операторам из вашего списка. Обязательно завяжите переписку в Приложениях к Уведомлению – Ответственные тоже люди, и им хочется поговорить.
  4. Если у вас плановая документарная проверка, то запрашивайте документацию как можно более обще. Используйте расплывчатые фразы и обобщения. Например, «в соответствии со статьей 1911 Подзаконного внутреннего секретного постановления, необходимо представить документы, регулирующие обработку персональных данных».
  5. Если вы запрашиваете документы в связи с жалобой субъекта персональных данных или по другим веским основаниям, не стесняйтесь использовать положения пункта 004. Если Ответственный пришлет документы – он душка, если нет — минус в карму. Мы же одно дело делаем.
  6. Получив документы, внимательно сравните даты отсылки уведомления и изменений к ним, даты утверждения документов, даты приказов и т.п.

Неожиданный конец документа

«Ранние Пташки» — найти и обезвредить, или особенности стартапостроения в ИБ

Вторник выдался особенно жарким на всякие мероприятия. Еще месяц назад я зарегистрировался на презентацию нового вендора и буквально за пару дней до начала узнал о проведении мероприятия для стартапереров, где будет выступать Алексей Лукацкий. Как давний фанат Алексея я не мог этого пропустить. Я посетил оба мероприятия.

В 9 утра я был в районе метро Курская на «Early Birds: стартапы в сфере информационной безопасности», которое было организовано платформой для запуска стартапов tech и фондом ФРИИ. Все было в новом для меня формате завтрака – тортиком тебя угостят, а за кофе платишь сам. Чтобы не быть белой вороной, я расчехлил одну из своих «гениальных идей». А вдруг получится найти деньги?

startup

Страхи от Алексея Лукацкого

Но сначала о выступлениях. Их было два. Алексей рассказал о своей поездке на конференцию RSA. Про тренды было интересно послушать, но все это не про нас. Мы в лучшем случае доберемся до этого года через два-три, а к тому времени уже половина трендов сойдет на нет, и появится что-то новое. Пусть другие набивают шишки (ну и зарабатывают, конечно).

Единственный дискуссионный вопрос был в драйверах для старт-апов. Алексей выделил три: Страх, Compliance и Экономика. Видимо, не хватало пунктов для классических «трех пунктов и семи шагов», т.к. два последних входят в понятие Страх. Страх — вещь универсальная, напугай клиента и продай. Так продается все — от косметики и дорогих аксессуаров («без этого ты будешь страшным уебищем и жизнь твоя будет горька!») до компьютерных игрушек («ты одинок и ешь доширак? В нашей игре ты будешь богом с кучей друзей!»). Разумеется, безопасность эксплуатирует страх. А вот дифференцирование страхов и есть поле для старт-апов. Видимо, Алексей решил не раскрывать всю подноготную бесплатно.

Пикирующий бомбардировщик Максима Лагутина

Вторым выступал Максим Лагутин. Как выяснилось – это основатель успешного стартапа по персональным данным B 152 и сканированию сайтов SiteSecure. Правда SiteSecure сейчас не работает. Максим узнал о персональных данных три года назад, и с помощью самообразования и статей в интернете сделал комплект документов, который стал продавать за 49 000 рублей. Вообще идея, лежащая на поверхности. С 2009 года ко мне регулярно обращались с подобным предложением – сделать коробку за чутка денег. Как человек честный, я не мог умолчать о сложностях и затратах на такую коробку, после чего тема загибалась.

SiteSecure

Продавать документы за деньги – крайне бесперспективно. Через пару продаж их сольют в интернет. После того, как я сделал комплект для Минздрава, где я только не встречал свои документы. Да и в тех же платных комплектах (Максим тут далеко не первый). Кстати, наши мастодонты тоже пробовали продавать документы. Если не путаю, там участвовали и Алексей Лукацкий с Михаилом Емельянниковым. Но и у них не взлетело. Кстати, чутка погуглив, доки B 152 я нашел.

Но надо признать, что Максим молодец – у него более 200 пройденных проверок по персональным данным. Правда не понятно, кто ж у них занимается персональными данными? На сайте всего две персоны:

Олег Михальский

Основатель, постоянный консультант, специалист по маркетингу и продвижению решений (выделение автора) в области информационной безопасности

Активно помогает проекту «Б-152» расти, развиваться и налаживать партнёрские связи. Имеет опыт работы на рынке информационной безопасности более 15 лет. В разное время занимал руководящие должности в следующих компаниях: «Лаборатория Касперского», «InfoWatch», «Acronis». Помимо солидного опыта, отличное образование, полученное в ИКСИ АФСБ, ВАВТ, ВЗФЭИ и АНХ ( это четыре вышки или одна? Пожалели места для полных названий).

Интересно, Acronis позволяет своим менеджерам иметь бизнес на стороне? Я так понимаю, большинство клиентов Олег нашел на основной работе.

Максим Лагутин

Руководитель проекта, специалист по информационной безопасности

Возглавляет команду «Б-152», занимается стратегическим планированием, развитием сервиса и работой с партнёрами.
Имеет профильное образование и опыт работы в сфере информационной безопасности более 3-х лет (где, если не секрет?). На данный момент обучается в RMA по программе MBA «Менеджмент в сфере интернет-технологий» (а почему не риски или что-то профильное?).

 

Т.е. один крупный руководитель и еще один стратегический управленец. Как-то сильно попахивает на бессовестный пиар без реальных дел. Анализ клиентов, правда, ничего не дал. В бизнесах с такой маленькой клиентской ценой надо иметь огромный охват. Если ребята помогли пройти 200 проверок, то клиентов у них должно быть как минимум 20 000 (в среднем под проверку попадает 1% и менее операторов).

Слоган: Данные организации уже решили вопрос соответствия ФЗ-152 «О персональных данных». Они уже не беспокоятся о возможных штрафах по данному закону.

Люди разбирающиеся заметят, что в услугах, оказываемых Олегом и Максимом, не хватает еще очень много, чтобы «не беспокоиться о возможных штрафах по данному закону». Тут одним шаблонным комплектом ОРД не отделаешься. Кстати, думаю, регуляторы взяли B 152 на заметку.

Желаю парням удачи.

8 поленьев.

Про старт-апы

Ни к кому из инвесторов я не пошел. Во-первых, они были все заняты. Во-вторых, инвесторы хотят много (в смысле доли), а предлагают исчезающе мало (хотя бы в смысле денег). У нас инвесторы не готовы вкладываться в доли менее 50%, соответственно несут им проекты, которые зарабатывают миллионы вместо миллиардов.

Вообще, я с подозрением отношусь к старт-апам. В чем суть старт-апера? Создать шумиху, сделать красивый сайт и продаться инвестору. Для старт-апа, в отличие от бизнеса (даже начинающего), не важна прибыль. Тут любые твои просчеты могут быть поданы в выгодном свете в совокупности с просьбой дополнительных инвестиций. Вы сами можете это увидеть на примере многих известных компаний в нашей области.

startup-fail

Для того чтобы открыть бизнес, необходим канал продаж и/или заказчик. Как видим, тут особо нет места инвестору (тем более за 50% долю). Поэтому такой большой процент сбитых летчиков, т.к. в первую очередь важны продажи. Помнится, как-то Андрей Янкин прислал информацию о компании его друзей для рассмотрения их в качестве привлечения на субподряд. У парней на 5 человек было 8 CCIE. Матерь божья, эти пять парней были умнее многих крупных интеграторов. Но они искали субподрядных работ… потому что для бизнеса мало технической квалификации, надо еще уметь продать эту квалификацию. Возняк так бы и остался рядовым инженером, не познакомься он с Джобсом.

Поэтому с опаской отношусь к старт-аперам, тем более тем, кто является «заслуженным старт-апером». По-моему, тут уже выступает на первое место тусовость, желание быть модным, а не дело. Два часа пролетели незаметно, и я поехал к Михаилу Романову.

Поесть у Михаила Романова

Я думаю, многие знают Михаила. Это личность значительного масштаба, отбрасывающая заметную тень на наш рынок. Я познакомился с Михаилом, когда он толкал в гору сертификации StoneSoft. После всем известных событий Михаил пропал на пару лет. Оказалось, что он не сидел, сложа руки, а пилил новый продукт SafeInspect в лоне новой компании «Новые технологии безопасности».

Название, на мой взгляд, немного претенциозное. Но какой разительный контраст в подходах в сравнении с B 152! Главное — продукт, а мишура потом. Сайт еще несколько недель назад выдавал ошибки, и был полупустой (кстати, плюс в карму за использование Drupal). Минимальная функциональность со средоточием на главном. Уважение.

Пересказывать презентации и демонстрации смысла мало. Конечно, подготовиться можно было бы получше. Ну не надо вызывать к микрофону технических специалистов. Их задача — отвечать на специализированные вопросы, а не читать презентацию полчаса. Это совершенно другой навык, не требующий глубокой компетенции.

Ну, и как любой бомжующий блогер, я не мог обойти вниманием стол. Вообще, думаю, что если б не конференции, то писаки вроде меня умерли бы с голоду. Устроители конференций, не забывайте про пишущую братию вообще, и про меня любимого в частности! Приглашайте почаще. :)

Поесть было богато, Михаил к этому очень трепетно относится. Так что всем рекомендую становиться его партнерами, голодными не останетесь.

А у меня за этим все. Всего самого доброго.

3 полена.

 

P. S. Что-то понравилось мне чужие сайты читать, заделаю рубрику а-ля Бизнес-Линч. Буду читать сайты по ИБ. Кто предложит нормальное название?

 

КЦД – святая троица безопасности? Или MaxPatol апостол всея безопасности

Так получилось, что целые выходные лежал мой сервер с сайтами. Ждали, когда техподдержка выйдет на работу в понедельник. Сидел я и думал об информации. Я ведь безопасностью информации занимаюсь етить растудыть, так что к ентой самой информации имею самое прямое отношение. Во всяком случае, это нам, безопасникам, так кажется (а мы не крестимся).

Holy_Spirit_IB

И, вот, сижу я и думаю – «Риски доступности информации, реализовались, что привело к ущербу…» Так, стоп. Что там говорит теория про информацию? У информации есть три свойства – конфиденциальность, целостность, доступность. Есть еще куча, мне, например, очень уж нравиться неотказуемость. Святую троицу я изучал по буржуинскому ISO, а там еще куча свойств. Хотя некоторые утверждают, что любое свойство можно выразить через КЦД – нашего отца, сына и святого духа. Но об этом как-нибудь в следующий раз.

Сижу значит, и думаю, а как там с доступностью? Наверняка тоже по трынде пошла. Базы покорежились, восстанавливать надо. Зато с конфиденциальностью полный порядок, никто мою информацию не узнает, т.к. доступа к ней нет. Зато узнают, что она недоступна. Но это другое.

Помните, когда-то был «приказ трех» по персональным данным? Алексей Лукацкий тогда на каждом углу говорил, что у нас нет типовых систем, а есть только специальные, т.к. надо обеспечивать еще доступность и/или целостность окромя конфиденциальности. Тогда все было красиво, действительно целостность и доступность важны.

А на практике? А на практике выходит, что безопасник может воздействовать только 1 одно свойство, максимум на 1¼. Например, мы ни как не можем воздействовать на доступность. Во всяком случае, на доступность информации в информационных системах. Т.к. это чисто айтишная тема, если системы не работают – никакой безопасности не надо. Что мой случай наглядно и показал. Нет системы – нет проблемы. Можно сказать даже больше – безопасники вредят доступности. Все эти наши железки, ставящиеся в разрыв, или хитрый софт обогащающий пакеты идентификаторами и метками. Все это для ИТ службы черный ящик и дополнительная точка отказа. В одном крупном банке воткнули железку по обогащению трафика, так она на 2 часа всю сеть и положила. В общем, с доступностью мы не помогаем, и даже вредим.

Целостность. Тут уже выправляем положение. Тут мы можем обеспечить неизменность документа. Круто. Возьмем, засунем все в криптоконтейнер, или цифровой подписью подпишем, и контрольную сумму сосчитаем. Как уже понятно, при крахе документа мы ничего сделать таким способом не можем. А если злой админ сотрет секретный ключ, то и вообще все документы похерятся. Таких случае уже больше десятка. Ну, не обладают безопасниками средствами восстановления информации. Вот, если вытащить чего удаленное – это да. А если база данных полетела, и потерялась часть полей – это нет.

Конфиденциальность. Это, вот, наше все. Любимый отец всея безопасников, скрыть, спрятать, никому не показывать. Понятно, что лучшую конфиденциальность можно обеспечить в отрезанной от внешнего мира, а лучше в неработающей системе.

И обрел я просветление. Все средства безопасности направлены лишь на одно, на сохранение конфиденциальности, путем низложения остальных двух свойств. «Ну как продукты Positive Technology, которые написаны, словно вся ЛВС предназначена только для них» (с) CISO банков топ-5. И в этом суть, зарытое в землю, не может быть взломано.

Всего вам доброго.

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №1. Выездная проверка

Общие положения

    1. Каждый сотрудник Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) обязан быть готов провести выездную и документарную проверку Операторов персональных данных в любое время, 365 дней в году.

Совершенно секретно

    1. В ходе проверок необходимо руководствоваться положениями Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (далее – Закон), внутренними инструкциями Службы и здравым смыслом…

 

  1. Так же Сотрудник Службы должен проверять исполнение Закона во всех проявлениях гражданской жизни у юридических лиц и индивидуальных предпринимателей, с которыми сталкивается по вопросам бытового получения товаров и услуг. В случае выявления признаков нарушений, следует воспользоваться Инструкцией №1 по формированию плана проверок.

Проведение выездной проверки

    1. Если вам выпало проводить выездную проверку, расслабьтесь. Посмотрите, привлекаются ли аккредитованные эксперты? Если да – хорошо, они братюни и можно будет хорошо провести время. Если нет, не отчаивайтесь – повезет в следующий раз.
    2. Хорошенько выспитесь.
    3. Перед проверкой распечатайте последнее уведомление об обработке Оператора.
    4. Если в уведомлении указан один юридический адрес, а Оператор находиться совершенно по другому адресу – смело езжайте по первому. Будьте внезапным. Это заставит понервничать ответственного у Оператора. Приятная поездка на другой конец Москвы плюс легальный выходной. Помните наш девиз № 42: Служба в радость!
    5. Вы на месте, внимательно посмотрите, кто пришел со стороны Оператора. Если он пригласил – юриста, консультантов и того парня, чей блог вы иногда читаете, значит, ему есть что скрывать. Не паникуйте! Вы тут главный.

 

  1. Сразу запросите весь перечень проверяемых документов в электронном виде. Если ответственный их предоставляет – он душка, плюс в карму. Если нет, то подумайте, что делать с таким букой. Может быть дать ему печеньку?
  2. Попросите Ответственного перечислить ИСПДн с персональными данными. Если среди них нет:
    • Бухгалтерской;
    • Кадровой;
    • Системы контроля доступа;
    • Электронной почты;
    • Домена Active Directory (при наличии ).

Внимательно к ним присмотритесь.

    1. Спросите, есть ли биометрия?
    2. Потролльте ответственного вопросом о видеонаблюдении. Если ответ оригинальный – запишите в книжечку для размещения на нашей Доске крутых отмазок (ДКО).
    3. Проверьте актуальность уведомления и всех данных в нем представленных.
    4. Посмотрите, кто делал документы по защите персональных данных. Если лицензиат – попросите договор. Если сами – попросите документы о соответствующей подготовке или переподготовке (минимум на 2 человек).
    5. Посмотрите на дату последнего отчета об обследовании. Если ей больше года, мы красавчики. Если меньше, ответственный – красавчик.
    6. Если у Оператора есть самописные или самостоятельно дописываемые системы (1С, SAP, SharePoint, сайт и т.п.), обратите внимание на решение вопроса с НДВ. Если угроза НДВ нивелирована, послушайте объяснение. Если оно хорошее, запишите для добавления в ДКО.
    7. Не будьте букой.
    8. Если Оператор использует облака, мы в Эльдорадо. Если облако зарубежное, то в Эльдорадо-плюс-плюс. Сразу напишите смс коллегам во ФСТЭК и ФСБ, они должны это увидеть.
    9. Посмотрите договор на использование облака. Попросите показать вам пункты отвечающие за безопасность вообще, и безопасность персональных данных в частности. Попросите копию договора. Ну, а, вдруг?
    10. Посмотрите модель угроз. Если много неактуальных угроз – выберите наугад 3 и попросите объяснить. Лучшие ответы запишите для ДКО.

 

  1. Посмотрите проект на систему защиты персональных данных. Если с вами нет братюнь-экспертов или коллег из ФСТЭК или ФСБ, вам нельзя оценивать технические меры – печалька. Зато можно выписать используемые средства защиты.
  2. Попросите акты установки на все используемые средства защиты.
  3. Послушайте и запишите лучшее, почему вы этого не можете получить.
  4. Не будь букой.
  5. Попросите сертификаты ко всем используемым средствам защиты.
  6. Послушайте и запишите лучшее, почему этого нет.
  7. Не будь букой.
  8. Переходите к осмотру помещения…
Неожиданный конец документа
Найдены новые фрагменты… Сканирую… распознаю

Как анализировать конкурсы на госзакупках, или почему не было вчера не было материала

Вы думаете, почему нет вторничного мега-материала? Приходиться работать :( У всех начало января — мертвый сезон, а мне накидали конкурсов. 4 штуки на неделю для участия, и еще 10 на анализ.

Надо сказать, что конкурсы я люблю. И вообще являюсь специалистом по анализу конкурсов – что по 94 (44) ФЗ, что по 223, а уж как люблю конкурсы в свободной форме… не передать. Это все равно, что даниссимо съесть.

zakipki_gov_ru

Обычно дело обстоит так: мне прилетает ссылка – Диман, глянь, что как. Я смотрю, и даю выводы – идем/не идем. Это моя самая любимая часть, жаль, что она длится минут 5-10, прямо как среднестатистический секс.

И вот, когда я собрался уже написать мега-текст, ко мне прилетает ссылка. Аттестация по ЗПД в «Городская клиническая больница имени Архиепископа Луки г.Тамбова».

О том, как выигрывать конкурсы, я расскажу в другой раз, а сегодня о том, как обнаруживать в конкурсах защиту.

Что такое найти защиту? Это посмотреть, был ли конкурс подготовлен самим заказчиком, или ему кто-то помогал. Понятно, что помогающий надеется выиграть конкурс. И в этом, кстати, нет ничего плохого. В следующий раз я вам расскажу увлекательную историю про битву в конкурсе с двумя маститыми интеграторами, где были интриги, расследования и победа. Там, кстати, наша цена была в 3 раза ниже, чем у остальных. Т.е. конкурс с защитой – это не всегда желание отхапать кучу денег, зачастую это желание, чтобы делал проверенный контрагент за вменяемые деньги.

Но давайте теорию оставим на потом, сразу к практике. Почитайте документы по ссылке.

sokrovishha

.

.

.

Что нашли?

.

.

.

Сразу возникают сомнения уже в названии. Аттестация вещь такая, для нее нужны средства защиты и документы. Если все это есть, то аттестацию, скорее всего, уже кто-то сделал. Поэтому открытые конкурсы на «чистую» аттестацию – это переаттестация.

Есть такое у парней из Тамбова? Нетути.

8.1.7. Исполнитель должен обеспечить поставку, установку, настройку и ввод в эксплуатацию средств защиты информации, отвечающих требованиям, установленным в разделе 9 настоящего технического задания.

Ага, т.е. сразу в стоимость должны быть включены технические средства. Как вы понимаете, это увеличивает неопределенность, а, следовательно, косты вашего предложения. Смотрим, что за система – МИС. В границы работ попали лишь рабочие места, без серверных компонент. Уже легче, а то можно нарваться на черт знает что.

Сроки. Сроку всего 30 рабочих дней. И тут парни сработали чопорно. Окучить почти 500 рабочих мест за полтора месяца…? Кстати, так часто пишут, когда часть работ уже сделана, и за нее надо получить деньги. Как-нибудь расскажу про залеты с этой схемой.

Т.е. нам предлагают делать под ключ 16 компов в день… Ну, ладно. Чешем дальше.

Возвращаемся к требованиям к средствам защиты. Тут часто пишут номера випнетовских сетей, что сразу ставит крест на ваших чаяньях. Но тут такого нет, а есть спецификация:

 

 

Таблица №2

№ п/п

Наименование

Количество

1
Лицензия на право использования СЗИ от НСД SecretNet 7. Клиент (сетевой режим работы)

480

2
Лицензия на право использования СЗИ от НСД SecretNet 7. Сервер безопасности

1

3
Установочный комплект СЗИ от НСД

1

4
Программно-аппаратный комплекс, выполняющий функции средства обнаружения вторжений

4

5
Продление действующих неисключительных (пользовательских) лицензионных прав на антивирусное программное обеспечение Dr . Web Desktop Security Suite : Антивирус, Центр управления для рабочих станций сроком на 36 месяцев

480

6
Установочный комплект антивирусного программного обеспечения Dr . Web Desktop Security Suite

1

7
Передача неисключительных прав на использование средства анализа защищенности сети

1

8
Установочный комплект средства анализа защищенности сети

1

9
Продление неисключительных прав на использование Средств защиты информации Security Studio Endpoint Protection : Antivirus , Personal Firewall , HIPS . Subscription.

37

 

Тут все прекрасно. Если бы кто хотел помандиться по теме конкурса, то они бы в легкую это сделали. Сумма просто довольная маленькая. Было бы хотя бы миллионов 10, думаю, нашлось бы много охотников пописать в ФАС и прокуратуру. Но тема развала конкурсов – большая, чтобы о ней говорить в двух словах.

Если есть спецификация, значит кто-то уже защитил поставку у вендора. Следовательно, мы в лучшем случае получим скидку в 5% от прайс-листа.

Там еще можно много найти, но и этого хватает с головой.

Все необходимое узнали, считаем нашу себестоимость.

money

Я рекомендовал в этот конкурс не идти.

Вот так я потратил 10 минут, креативное настроение ушло, и я не написал вам вчера пост. Если интересна тема организации и выигрыша конкурсов по 94 и 223 ФЗ и всякие кул-стори, ставьте лайк и пишите в комментариях.

Всего вам доброго.

Как м*даки убивают интеграторы по информационной безопасности

Скоро Новый год, время подведения итогов, время водораздела, время начинать все с начала. Для многих НГ является ключевой точкой. И сегодня у нас самая новогодняя тема – про собеседования, а еще вернее, как отличить хорошую компанию от плохой. Материал планировался как набор забавных историй из личной жизни. Увы, в нынешний кризис, с его веерными сокращениями — это может стать руководством к действию. Но начнем.

Как мудаки убивают интеграторы по информационной безопасности

Вообще, работа — одно из главных, если не главное, мерил мужчины. И дело даже не в деньгах и должностях. Если мужчина реализовался на работе, у него, скорее всего, и вокруг все хорошо. А если нет, то могут быть всякие отклонения, среди которых депрессия и алкоголизм лишь верхушка айсберга.

Сам я работаю с 14 лет. Как-то я составлял перечень, кем работал (получал деньги), получилось:

  1. Курьер (3 года);
  2. Электро-монтер связи (3 месяца);
  3. Сисадмин (1 год);
  4. Бета-тестер игр (1 месяц);
  5. Разносчик газет (1 неделя);
  6. Уборщик/разнорабочий (полгода);
  7. Литературный негр (полгода);
  8. Офицер службы безопасности (2 года);
  9. Специалист (старший, ведущий) по ИБ (3 года);
  10. Преподаватель и лектор (2 года);
  11. Администратор/модератор форума (4 года);
  12. Начальник отдела консалтинга (1 год).
  13. Руководитель проектов по ИБ (5 лет).
  14. Антикризисный управляющий (8 месяцев).
  15. Бизнес-консультант (2 года).

На собеседования я ходить люблю, людей посмотреть и себя показать (но сейчас этого практически не делаю). И рассказать-то я хотел о м*даках (кстати, оказалось, что и книжка соответствующая вышла), моем опыте общения с ними, и что в итоге получилось.

Какое точно название документа?

Искал я как-то работу и забрел в интегратор Б. Захожу на собеседование, передо мной садятся двое, посмотрели резюме и спрашивают:

— Какие документы по ЗПД вы знаете?

— ФЗ, четверокнижие, РД.

— А назовите, как документы в четверокнижии называются.

— Полностью?

— Да.

— Иди нахуй (развернулся и ушел).

Мое знание наизусть названия документов не делает меня более лучшим или худшим специалистом. Когда мне потребуется — я полное название скопирую из Консультанта. Важно ведь понимание, правда? Если помните, еще совсем недавно на конференциях были люди, полностью проговаривающие названия ПП №687. Специалисту нет нужды помнить название, достаточно номера.

Или же чуваки набирают зубрил, которые знают лишь «учебник». Ну, они добились своего, через год они потеряли одного из крупнейших клиентов по безопасности и занимаются теперь ИТ-интеграцией. Сейчас у них 1,5 специалиста по ИБ.

В другой компании моего будущего коллегу гоняли как на экзамене по ГОСТ 34. И сделали офер на 20% ниже, т.к. он не твердо его знал. В той компании сейчас тоже все не очень хорошо.

Любимый вопрос HR

Интересный вопрос, нужен ли HR при собеседовании на вакансии по ИБ? Вообще, HR должен оценить кандидата с человеческой точки зрения, выяснить мотивацию и передать непосредственному руководителю свое мнение (на втором собеседовании, если кандидат прошел первичный отбор).

Был я в интеграторе М. Собеседовал меня вновь назначенный директор департамента и HR. HR прыгала от нетерпения, чтобы ей разрешили задать «ее любимый» технический вопрос. Вопрос заключался – назовите все уровни модели OSI (и улыбается). Опять какой-то зубрильный вопрос.

Я смотрю на нее и спрашиваю: — Вы мое резюме читали?

— Читала.

— У вас возникают сомнения, что я это сделал?

— Нет.

— Так вот, за 4 года работы модель OSI мне ни разу не пригодилась. Я знаю 4 основных уровня (называю), где работают основные средства защиты. Позвоните мне, если надумаете.

В этом году компания обанкротилась.

Как мудаки убивают интеграторы по информационной безопасности

Хитрые схемы мотивации

Ходил я в интегратор Е. на инженерную должность. Практически все обговорили, пошел финально говорить с генеральным директором.

— Сколько хочешь?

— 60 т.р.

— Давай так, мы тебе платим 40 + бонус в конце года, те же 60 выйдут. Это у нас мотивация такая.

Я чуть не поперхнулся, и работать там не стал. В 2014 году интегратор закончил существование, и вся его жизнь была страданием.

Я лучше знаю

Был я в интеграторе Л. К тому моменту уже заделал рекомендации минздрава и сделал кучу всего в ЗПД. Прихожу на собеседование к техническому директору. Обсуждаем ЗПД и методы безопасности. Пересказал проделанную работу. Получил в лоб:

— Посмотрим, что на это скажет прокуратора?

— Прокуратора, конечно, глобальный регулятор, но при чем тут она?

— Все эти согласования — хуйня.

Лично я не хочу работать в догматичной компании, не готовой меняться. По слухам, этот интегратор закроется 31 декабря.

К чему это я?

Всех этих интеграторов объединяло одно: в них работал как минимум один м*дак на руководящей должности. Никакая зарплата не компенсирует вам работу с м*даками. Это как брак по расчету: деньги вроде есть, но спишь-то ты с конкретным человеком.

Самый лучший способ – перед собеседованием навести справки у друзей. Со временем вы будете знать много коллег по рынку. Спросите их, если уж они будут рекомендовать, то стоит сходить.

Мне вот, например, регулярно звонили кадровые агентства:

— Здравствуйте, у нас есть должность в крупном интеграторе.

-Каком?

— Не могу сказать.

— Понимаю. Знаете, я рынок неплохо знаю. Я не буду работать в интеграторах А, Б, Ц и Я.

— Спасибо, до свидания.

Надеюсь, с вами подобного не случится. Всего вам доброго.

Что делать, если вы специалист по персональным данным, или услуги, вышедшие в тираж

Недавно я писал про средства защиты, вышедшие в тираж. Сегодня поговорим об услугах. Сподвиг меня на это Евгений Бабицкий, который подумал, что я «наехал» на его любимый PCI DSS, назвав его вышедшей в тираж услугой. О чем мне сразу и написал. Евгений, как бы это было не прискорбно, но это факт. И вы, и я в одинаковом положении. В чем суть?

Услуги вышедшие в тираж

В отличие от средств защиты, услуги, вышедшие в тираж, определяются несколько иначе:

1. Это услуги, которые предоставляют все.

2. Это услуги, на которых уже так просто не заработаешь. Т.е. можно, но сложно. В отличие от тех же антивирусов.

Как и Евгений, я тоже это прошел с персональными данными, но раньше. Когда-то я сделал методические рекомендации минздравсоцразвития, потом сразу – для образования и Росатома. Помогал проходить проверки, читал кучу лекций и обучений. Если переводить на язык денег, я обладал экспертными знаниями и опытом по теме, и это позволяло мне оказывать качественный сервис за хорошие деньги.

Но время шло, подтянулись новые игроки, открылось много небольших интеграторов – и на рынке стало много предложений по персональным данным. Например, сейчас можно найти конторки, которые сделают это за 100 тысяч рублей. Проблема усугубляется тем, что зачастую важна цена услуги, а не ее качество.

Помню, как-то в одном казанском банке наше предложение было на 200 тысяч дороже, но гораздо качественней. Функциональный заказчик это понимал, но он же знал и своего директора, которому надо было подешевле. В итоге я услышал – либо падаете на 200 тысяч, либо не работаем.

То же самое происходило и с PCI DSS. Я помню те благословенные времена, когда у нас было всего две компании со статусом PCI QSA (ох, какие они чудесные срачи устраивали между собой на форумах). Когда-то обследование по PCI DSS можно было продать за 400 тысяч долларов. И это не какой-то удачный случай, это поголовно так было. Именно с того времени тянется большинство внедрение ArcSight, который ставили в сегмент PCI DSS и больше не трогали. Сейчас эти времена прошли, ASV-сканирование сейчас можно взять за 100 тысяч рублей, внешний аудит и комплект документов за 500. Печалька :(

Назовем их всех

1. Персональные данные. Как уже говорил, сейчас только ленивый не занимается этим. На рынке полно небольших конторок и фрилансеров, которые готовы сделать проект за любые деньги.

<реклама>

Обратившись сегодня, вы получите исчерпывающую консультацию по защите персональных данных от профессионалов, съевших на этом стаю собак. Проекты любой сложности за вменяемые деньги. Пишите! :)

<реклама>

2. СТО БР и НПС. СТО БР был с самого начала мертворожденным. Отличный стандарт, огромная работа, но легкость присоединения к нему убила этот рынок. Плюс к этому узкая отрасль, на которой уже все сделано. НПС примерно такой же.

3. PCI DSS. Все крупное сделано, осталась лишь поддержка. Если вам это надо, обращайтесь в Compliance Control, они давно этим занимаются (Евгений, с тебя причитается :)).

4. Pen-test. Тут ситуация двоякая. Есть два вида: просканировать сканером (так называемый assessment) или реально поломать. Не знаю, как со вторым, а вот с первым просто швах. Помню, разговаривал с директором ИБ топ-3 банка, он рассказывал, как сделал запрос нескольким интеграторам на пентест, и один подмосковный интегратор ему предложил это сделать за 35 т.р. С поправкой на желание «зайти в клиента» это стоит те же 100-200 т.р.

5. Аттестации. Как по конфиденциалке и персональным данным, так и по гостайне. Лицензиатов много, ценники мизерные и зависят только от количества компьютеров.

Все так плохо?

Конечно, нет. На рынке с таким количеством игроков вступают в действие уже обычные законы любого потребительского рынка. Изменяется состав услуг и позиционирование. И это реально работает. В моей квоте персональные данные все еще занимают 60%, хотя многие интеграторы уже махнули на ЗПД рукой. Так что не отчаивайтесь, если ваши услуги вышли в тираж.

Всего вам доброго.

Про тренды в информационной безопасности: SOC, ЗПД и т.п.

Вернувшись с очередной конференции по новомодным трендам, задумался о вечном. Об истории. По сути, вся история защиты информации в России прошла перед моими глазами, и принимал я в ней деятельное участие. А т.к. я известный цифирькосчет и фрик, решил изучить тренды в информационной безопасности на опыте себя любимого.

Сразу жбахну картинку.

Количество проектов за последние 6 лет

Количество проектов за последние 6 лет

Это разбивка моего опыта выполнения различных проектов по информационной безопасности. Вписал, что помнил. Совсем не стал вписывать, где были просто поставки (без работ). А также не упоминал темы, мало связанные с безопасностью.

До 2011 года я активно выполнял работы сам и чуть-чуть пресейлил. После активно пресейлил и гиповал и чуть-чуть делал сам. Т.к. изменился спектр обязанностей, получился большой разрыв в количестве. Продажи занимают больше времени, чем исполнение (сравнимо с методическими рекомендациями Департамента образования). А ведение проекта не заканчивается с написанием комплекта документов.

Предлагал я весь спектр интеграторских услуг, но в итоге получилось следующее:

Разбивка проектов по типам работы

Разбивка проектов по типам работы

Сейчас пишу и вспоминаю, что еще делал pen- test, внедрял DLP и еще всякое разное, но уж как получилось. Как видно, персональные данные как стали трендом в 2009 году, так и не отпускают пальму первенства.

Количество проектов по защите персональных данных

Количество проектов по защите персональных данных

А вот в процентах тренд виден более явно:

Количество проектов в процентах по защите персональных данных

Количество проектов в процентах по защите персональных данных

И последняя диаграмма: разбиение по отраслям:

Количество проектов по отраслям

Количество проектов по отраслям

Что в итоге?

1. Персональные данные все еще тренд. Спасибо 242-ФЗ.

2. SOCи набирают популярность (надо похвалиться – я приложил руку к одному из крупнейших SOCов в Восточной Европе). Но ввиду масштабности проектов это могут потянуть не все интеграторы.

3. Анализ рисков – тема, о которой все говорят, но мало кто хочет за нее платить. Во всяком случае в отрыве от других работ. А с другими работами — это, скорее всего, с персональными данными.

4. Количество проектов мало влияет на выполнение квоты (но об этом как-нибудь в другой раз). С 2011 по 2014 – личное выполнение плана.

5. В основном ЗПД заказывают или те, кого обязали (госы), или те, кто под прицелом (образование, медицина).

Я знаю, в среде многих известных блоггеров принято ругать защиту персональных данных. Но надо понимать, что это хлеб всего интеграторского бизнеса по информационной безопасности (да и у заказчиков). В 2008 году я ставил CheckPoint и XSpider и выступал с презентациями, как круто аттестоваться по ISO 27001.

Всего вам доброго.

Пролез: ЗПД — Защита персональных данных, ФЗ152

Пролез: Открытая безопасностьВ четвертом выпуске программы мы обсуждаем Защиту персональных данных (ЗПД).
Темы, поднятые в подкасте:
1) История ЗПД в мире (Европа и США).
2) История ЗПД в России.
3) Что мы имеем сегодня в России?
4) Какие санкции за невыполнение требований ФЗ-152?
5) Опыт прохождения проверок Роскомнадзором.
6) Подводные камни в исполнении Российского законодательства в части ЗПД.
7) Какие грядут поправки и изменения?

На эти и другие вопросы мне помогли найти ответы старший аналитик компании Айти Кириллов Павел и руководитель проектов по защите информации компании Айти Дудко Дмитрий.

Старикам здесь не место, или средства защиты информации, на которых не заработаешь

Как-то неожиданно все друзья и коллеги узнали об этом блоге, и настала популярность :) Самый популярный вопрос – зачем? Ответ: конечно, дикий и бешеный самопиар, чем я хуже.:) И, к тому же, я – графоман.

Но перейдем от личной популярности к популярности в информационной безопасности. А именно о средствах информационной безопасности, вышедших «в тираж». Что это?

Устаревшие средства защиты

С точки зрения интегратора (продаж) – это средства защиты, на которых уже нельзя заработать. Рынок этого насыщен и/или это уже у всех есть. Этим нельзя удивить, на этом не сделать квоту, это вышло в тираж.

С точки зрения заказчика – это уже ставшее чем-то обыденным, чем-то являющимся само собой разумеющимся. Тем, о чем знает даже собственник бизнеса, который может говорить лишь о яхтах и сигарах.

— Имя, сестра, имя!

Возглавляют список антивирусы. Вот уж точно о них слышали все. Если его у вас нет, вы, скорее всего, сидите на линуксе. Интегратору здесь практически не заработать, особенно с нуля. Да, если у вас в пуле есть заказчик с 10 000+ станциями, вы получите 1 млн. маржи.

Касперский, ESET, Symantec и остальные — извините.

Следующие в списке – межсетевые экраны и VPN. Тут все разнообразней, ведь даже на Cisco можно включить ACL и получить простенький фаервол. Если в штате есть безопасник, то можно увидеть фаервол сертифицированный и с гостовым VPN. Но если его нет, любой айтишник ограждает свою вотчину извне. Заработать еще можно: при поставке сертифицированных решений (желательно с гостом), а также при расширении филиальных структур и постройке чего-нибудь нового. Один минус: фаервол — это надолго, на второй год, в лучшем случае, техподдержку продашь.

Тройку замыкают системы анализа защищенности. Этих уже поменьше, но если есть безопасник – значит в 90% случаев есть XSpider. Что может быть более любо, чем посканить и принести красивый отчет? Сейчас все больше разрастается Qualys. Ну, и старший брат паука – MaxPatrol. Интеграторы чаще всего закладывают сканеры для выполнения требований по защите персональных данных. Если деньги есть – MaxPatrol, если нет – Xspider.

Это были старички. Есть и потенциальный новичок – DLP. Если раньше можно было продать 1000 лицензий за 20 млн., теперь уже нет такой роскоши. Все, кому нужно было купить — купили. Подтянулись новые игроки, сбросили с себя пыль старички – и пошла заруба, кто меньше даст цену. Еще пара лет, и будет как с антивирусами.

И, чтобы уж было ровно пять, внесем в список IPS/IDS. Скажу честно, продавал я их только для персданных. Решение это не самостоятельное, и всегда берется в нагрузку к фаерволу. Купили Cisco или Check Point, и IPS там же купите. Со смертью StoneSoft и разнообразие ушло – либо безумно дорого, либо snort под разными соусами.

Не обижайте стариков. Всего вам доброго.