Архив метки: законодательство

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой — попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление: с одной стороны, красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь, можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедово в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса чувствовались, как +17. Местной особенностью является предложение пледов на любой летней веранде любого кафе.

И вот, сидим мы, разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии: четко обозначены 9 форм журналов и что там должно быть. И это разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай, и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И во всем этом благословенном раю определенности была одна большая бочка дегтя. При таком подходе к регулированию рынка информационной безопасности в Украине так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет ни консалтинга, ни интеграторов, да и вендоры не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела у наших соседей.

Распрощавшись, я еще немного погулял по городу и поехал в гостиницу, т.к. надо было опять вставать в три утра, чтобы успеть в аэропорт, где на прощание нас ждал приятный сюрприз. За шоколадку нас посадили в бизнес-класс (в котором, правдаЮ нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

Как зарабатывать на ЗПД

Просматривал я сегодня фейсбучек и зацепился взглядом за одно резюме.

b-152-hh

Оказалось, это мои старые знакомые из Б152 набирают людей. Привет, Максим!

Вот все думают, что я людей засираю, чтобы получить дешевого пиару (привет, Алексей!). Но цели мои гораздо прозаичнее: я просто хочу сделать мир лучше. И, на мой взгляд, этого точно нельзя добиться, расцеловывая друг друга в десны.

Ребята из Б152, видимо, прочитали мои прошлые заметки. Теперь все хорошо. Теперь на сайте по продаже комплектов шаблонов нет цен.  Я думаю, они даже поднялись с 49ти тысяч раза в два. Появился большой простор для бизнеса, а также маркетинговых акций – «Два комплекта по цене одного» или «Успей заказать до полуночи и получи скидку 90%».

Но мое внимание привлекла вакансия. Что же предлагают нам за 60-100 тысяч рублей (кстати, это белая?)? Нам предлагают работать в компании, которая уже продала своих продуктов 6 000 заказчикам. Матерь божья! Если это правда, то это реально круто. Например, у Кода безопасности всего 32 000 заказчиков (кстати, если перейти по ссылке, то увидим всего 23 000… хотя там написано более, но нельзя же так редко сайт обновлять…).

32000 предприятий

32000 предприятий

23000...

23000…

При том, что это крупный вендор, и фактически стандарт во многих областях.

Т.е. Б125 компания крупная. С кем же она работает? Мне нравится фраза «компании уровня Philips, EY, Henkel». Т.е. мировой лидер рынка аудиторства и комплайнса заказывает шаблоны документов за 49 тысяч рублей? Если это правда, это очень круто. К сожалению, в отзывах на сайте про EY ни слова. Надо срочно получить эти отзывы, так как более мощного пиара придумать сложно. Остальные заказчики обычные, скажем, фриланс.ру. Большой сайт, но никаких персданных внутри на сайте нет, значит, использовали для бухгалтерии/кадров.

Оки, компания крупная.

Что надо делать? Продавать уникальные решения. Это комплект шаблонов по ЗПД и мониторилка сайта, которая недавно еще и не работала. Сейчас работает, я даже заказал мониторинг моего уютненького бложика.

siteSecure

Т.е. по факту 5 из 6 проверок делается вообще бесплатно на любом SEO сайте. И если сервис автоматизирован, то почему мне до сих пор не пришло письмо с результатами? Как с такой скоростью продавать через веб? Интернет-магазины вон за секунды внимания клиентов бьются. Но думаю, уникальный продукт сам найдет дорогу к клиенту.

Говорят, надо искать новых клиентов, но одновременно работать с базой. Новых. С базой. На мой вопрос в комментариях о наличии холодных звонков ответили утвердительно. Это финиш, что сказать. По факту надо нанять таджиков, дать им справочник юрлиц и платить по 10% с каждой сделки. Продавать b2b по холодным звонкам – это за гранью.

Кстати, а что продается за рубежом? Кто тот чудо продавец, что наладил экспорт ЗПД?

По зарплате. Не указано, 60 тысяч – это оклад? Или это возможный доход, если вы продадите 100 проектов по 49 тысяч рублей, и мы дадим вам бонус?

В заключение место работы. По сути это коворкинг ФРИИ. Т.е. Б125 снимает койко-стол за 20 тысяч рублей, нагоняет туда домохозяек, обучает по шаблону, что надо говорить, и отпускает в свободное плавание по рынку.

Вместо вывода. Кто из серьезных b2b-сейлов пойдет на холодные звонки за оклад в 20 тысяч плюс премия — я не знаю. Чтобы отбить свою зарплату (сюда входит зарплата основателей, коворкинг, телефон и все накладные расходы), надо делать по 10+ продаж по 49 000. Это 120+ продаж в год. Или 1 продажа в два дня. Те, кто работает в b2b знают, что иногда продажа может длиться годами. Плюс никто не отменял закупочных процедур, а они времени съедают немало.

 

P.S. Мой отчет так и не пришел. По результатам сообщу.

Стандарты по ИБ – лучше ли книга?

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений, основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, всех проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Начало положено, начинаю мостить дорогу в ад

С легкой подачи Евгения Полянского и Владимира Овчарука заделался тренером. Все произошло довольно спонтанно. Евгений позвал меня на семинар «ЗПД — распространенные ошибки», на что я ответил, что три дня назад прочитал такой же.

Слово за слово, и вот — уже в этот четверг у меня первый семинар по теме «Типовые ошибки ЗПД». В программе:

  • Типовые ошибки при организации защиты персональных данных.
  • На чем все валятся при проверке?
  • Баланс между мерами защиты и деньгами.
  • Проверка: как это происходит в реальности.
  • Стратегии прохождения проверок (hint: включая нашего «нового» регулятора).

И просто общение на всякие интересные темы. Чувствую, гореть мне в аду вместе с другими бизнес-тренерами :)

Эксперт на примере Алексея Волкова

 

CISO FORUM 2016 – как меня выгнали, но дали постоять на галерке

Я не знаю, на сколько частей растянется этот отчет (и будет ли его кто читать). В этот раз не хочется разбирать разнообразные доклады, что-то подробно описывать. Но я просто не могу молчать о ряде вещей, которые все на форуме посчитали обычными – тренды, устоявшиеся мнения и т.п. Это какой-то лютый пиздец. Но начнем с позитива.

ciso_forum_2016

Же не манж па сис жур

Билета на конференцию у меня не было. После того, как я заплатил за SOC- forum и огреб «впечатлений», купить билет было не вариантом (да и с физиками они не работают, насколько я понял). Я честно пытался получить аккредитацию как СМИ. Но за три недели на мое письмо так и не ответили. А т.к. светлое будущее платной ибешной журналистики слишком туманное, потому что далекое, было принято решение прорываться.

За годы я побывал на нескольких десятках конференций, партнерок, семинаров. Я знаю, как они функционируют. Вообще, это прекрасные мероприятия, где целый день можно переждать холод и что-нибудь перекусить. Если вам надо дотянуть до зарплаты, ходите на конференции – реальная экономия. Желудок мой был пуст, а я – уверен в своих силах. У меня было два основных плана и несколько вспомогательных.

Надо сказать, что на конференциях два вида защиты – обычная и усиленная. На обычную конференцию (партнерку) можно пройти просто так, зарегистрировавшись прямо на месте по визитке. Я так ходил в Редисон на Check- Point.

Усиленная – появляется на платных мероприятиях, где добавляется охранник, который проверяет бейджики. Т.е. главная задача — этот самый бейджик получить.

Прорыв

Основная моя надежда была на угадывание номера билета. Бейджик может распечатать красивая девушка за столом регистрации. А может бездушная железка. Разумеется, я пошел к автомату.

Стрикер по ИБ: забежать и сфоткаться

Стрикер по ИБ: забежать и сфоткаться

Тут очень важен расчет времени. Главное — попасть в момент, когда приходит основанная масса людей на регистрацию. Т.к. обычно рабочий день начинается в 9, то надо быть максимум в 9-10. Альтернативным вариантом было использование визитки (это когда начинаешь грузить девушку в момент оформления другого человека, что у тебя билет не распечатывается, но он у тебя есть, и как мне быть?) Велика вероятность, что вам просто распечатают бейджик с ваших слов.

В итоге, беджик я получил. Но меня почти сразу поймали :( Кажется, меня кто-то сдал. Наверное, не стоило вести трансляцию всего мероприятия. А некоторые прямо жаждали увидеть, как меня заловят (да, Алексей?).

За постом охраны меня взяла под локоток Екатерина Митина (продюсер конференции) и плечистый охранник…

Удачное совпадение

Знаете, есть такой принцип – если очень чего-то хотеть, то это обязательно произойдет. Вопрос лишь во времени. Я очень хотел попасть на CISO Forum и в итоге попал. Остаться на ней мне позволил слепой случай – Костя Коротнев из Эльдорадо по рабочим причинам не успевал провести свой круглый стол. Чтобы не мыть тарелки, я с радостью согласился его подменить.

Дорога в ад

Перед тем, как погрузиться в настоящий ужас, от которого у меня скрутило все внутренности, и животный страх подталкивал меня быстрее уносить оттуда ноги, бежать и прятаться, я добавлю немного по делу.

horror

Мой круглый стол прошел вполне весело. Мы сразу поговорили о препятствиях к переходу в облака со стороны нормативки, еще раз вспомнили проблемы, которые могут возникнуть со стороны применения специальных средств защиты, обсудили новые угрозы в облаке и т.п.

Оставшуюся часть времени потратили на обсуждение, как быть, если руководство хочет в облака, но это влечет за собой риски. Конечно, стандартный аргумент (еще из BYOD), что это не так дешево, как кажется – не прокатывает (это уже вопрос других людей). Переносить какой-нибудь специфический прикладной софт — это делать еще один проект, теперь уже по миграции. Прямой выигрыш виден лишь в простых приложениях (почта, файлопомойка).

Но если приводить аргументы с точки зрения ИБ, то ахтунг открывается во всей красе. Можно поражаться лишь мужеству людей, работающих в парадигме: я (руководитель) решил идти в облака, ничего по безопасности делать не буду, а если что случится по части ИБ, то виноват будет безопасник, ему и отвечать.

Так какого хрена у тебя безопасники тогда делают, если ты их не слушаешь и денег не даешь? Это как пекинес для блондинки… Одни эмоции. Грусть и некая обреченность в глазах.

Ладно, об остальном в следующей части.

С официальной точкой зрения можно ознакомиться в многочисленных отчетах, которые в изобилии уже написаны и выложены.

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №2.

Нашим специалистам удалось восстановить еще одну часть документа.

Общие положения

  1. Совершенно секретноКаждый сотрудник Службы должен знать законодательство Российской Федерации, положения Кодекса об Административных правонарушениях, положения Гражданского Кодекса, положения Трудового Кодекса и других нормативных актов, чтобы свободно ими оперировать в ходе проведения проверки.

 

  1. На проверку возьмите с собой:
    • Блокнот вопросов по проверке (БВП), где отразите дату, наименование оператора и ключевые вопросы.
    • Ручку.
    • Стикеры.
    • Что-нибудь перекусить.
    • Хорошее настроение.

 

Проведение выездной проверки

  1. Всегда приезжайте вовремя, если Ответственного еще нет – прорывайтесь внутрь. Это создаст необходимое настроение в Операторе.
  2. Если Ответственный на месте, попросите провести экскурсию по офису. Скорее всего, он ночевал на работе, и кофеинового заряда ему надолго не хватит. Он будет ошибаться.
  3. Если чувствуете в Ответственном и его команде признаки усталости, расскажите немного о нашей Службе и целях проведения проверок, о вашей собаке. Выматывайте оппонента. Проверка длится минимум 10 дней, куда спешить?
  4. Когда будете на экскурсии, обязательно смотрите по сторонам, обратите внимание на видеонаблюдение, систему контроля доступа и т.п. Если увидите сканер отпечатков или сетчатки глаза – бинго!
  5. Узнайте больше о производственных процессах Оператора. Это может быть и просто интересно — побывать в ЦУПе или на атомной станции. Если там используются персональные данные, пометьте себе в БВП, чтобы проверить их отражение в документах.
  6. Когда вы составили первое впечатление, можно приступать к проверке. Зайдите в отведенную вам комнату, если это хорошо вентилируемая переговорка с кофе-машиной – оператору плюс в карму.

 

Проведение документарной проверки

  1. Если вам досталось проведение документарной проверки, не расстраивайтесь. Радость выездной проверки достается лучшим из лучших. Работайте усерднее и вас обязательно заметят.
  2. Документарная проверка требует точности. Не ошибитесь в названии или реквизитах Оператора. А то придется начинать сначала.
  3. Разошлите Уведомление всем Операторам из вашего списка. Обязательно завяжите переписку в Приложениях к Уведомлению – Ответственные тоже люди, и им хочется поговорить.
  4. Если у вас плановая документарная проверка, то запрашивайте документацию как можно более обще. Используйте расплывчатые фразы и обобщения. Например, «в соответствии со статьей 1911 Подзаконного внутреннего секретного постановления, необходимо представить документы, регулирующие обработку персональных данных».
  5. Если вы запрашиваете документы в связи с жалобой субъекта персональных данных или по другим веским основаниям, не стесняйтесь использовать положения пункта 004. Если Ответственный пришлет документы – он душка, если нет — минус в карму. Мы же одно дело делаем.
  6. Получив документы, внимательно сравните даты отсылки уведомления и изменений к ним, даты утверждения документов, даты приказов и т.п.

Неожиданный конец документа

О планах и как к ним относиться

Хотел бы вам рассказать о моем коллеге по работе – Федоре Горловском. Хотя мы с Федей братья в нелегком деле пресейла и борьбы за квоту, мы ярые антагонисты на идеологическом поле. Главное наше расхождение – планы vs цели. Суть противостояния сводится к следующему: Федор считает, что путь к личному счастью (или хотя мы к материальному) лежит через планирование. И шаг за шагом, этап за этапом вы обретаете счастье. Я, разумеется, ему оппонирую всеми фибрами своего естества. Рассмотрим противоборствующие стороны.

versus

Федор – человек-планировщик. Федя любит учет и порядок. Деловой стиль в одежде и общении. У него есть план(ы) на ближайшие 50 лет, которые он корректирует в зависимости от обстановки. Федя ведет домашнюю бухгалтерию. В свободное время Федя инвестирует в российские и западные компании. Карьерно и финансово успешен.

Ну, себя, распиздяя, описывать не буду, вы и так все обо мне знаете. Главное другое: в итоговом плане мы с Федей одинаковые (плюс-минус). Но идем к этому разными путями. Для меня любое планирование бесперспективно. Не в смысле, что я вообще планов не строю. Просто долгосрочное планирование при недостатке информации все равно, что гадание на кофейной гуще. Я заменяю их целями. Человек-цель.

Возьмем какую-нибудь цель для простоты повествования. Например, купить машину. Человек-планировщик сразу намечает все шаги и подэтапы, определяется с маркой, характеристиками машины, понимает, где он достанет деньги, когда он сдаст на права и т.п.

Человек-цель просто ставит цель купить машину. Не сказать, что у меня нет совсем понимания, как этого достичь. Основные шаги все те же самые (найти деньги, выбрать машину), но они не конкретны. Я готов переставить шаги или отложить цель в зависимости от обстоятельств. Например, свою первую машину я купил совершенно случайно за 1000 долларов и был счастлив с ней 5 лет. А вторую был готов поменять еще 5 лет назад, но забил – мне и так круто.

Как мне видится, главное различие в работе с информаций. Планировщик сидит внутри своих планов и возможных вариантов развития, которые он проработал. Чем лучше планировщик, тем к большему количеству неожиданностей он готов, ну как Госдеп США, у которых есть планы на все случаи жизни. Именно эти люди основные потребители бесчисленной «аналитики» обо всем на свете. Аналитика на основании аналитики.

Но это не исключает, что произойдет что-то (черный лебедь, например), к чему мы не готовы, что похерит к ебеням весь труд по планированию. Это меня просто убивает. Жизнь — она не бесконечная. Понятно, что чем детальнее проработка планов, тем больше похерит. Не верите? Посмотрите на первую версию любого календарного плана по внедрению чего бы то ни было и сравните с фактическими итогами. Сюрприз.

Основное следствие из этого — не стоит слишком серьезно воспринимать и строить планы. Воздушные замки на основании других воздушных замков. Не слишком ли зыбко?

— Хорошо, — скажите вы, — Дима, кул стори. Но к чему это?

Я это к тому, что в блогосфере просто полыхает от планов регуляторов на этот год. Люди, ау. Работать можно лишь с тем, что по факту есть. Как и делать далеко идущие выводы. Помню, как в 2012 все обсуждали бесконечные проекты документов ФСТЭК (в итоге вышли через 2 года) и ФСБ (большинство так и остались проектами). Какие тогда споры велись, сколько бугурта было у экспертов. Сейчас все поуспокоились.

То, что будут новые документы – хорошо. А бугуртить по их поводу – плохо, выйдут – посмотрим.

Всего вам доброго.

P.S. Ставьте лайки, если хотите большей «грязных подробностей» нашего с Федей противостояния.

Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №1. Выездная проверка

Общие положения

    1. Каждый сотрудник Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) обязан быть готов провести выездную и документарную проверку Операторов персональных данных в любое время, 365 дней в году.

Совершенно секретно

    1. В ходе проверок необходимо руководствоваться положениями Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (далее – Закон), внутренними инструкциями Службы и здравым смыслом…
  1. Сотрудник Службы должен проверять исполнение Закона во всех проявлениях гражданской жизни у юридических лиц и индивидуальных предпринимателей, с которыми сталкивается по вопросам бытового получения товаров и услуг. В случае выявления признаков нарушений следует воспользоваться Инструкцией №1 по формированию плана проверок.

Проведение выездной проверки

    1. Если вам выпало проводить выездную проверку, расслабьтесь. Посмотрите, привлекаются ли аккредитованные эксперты? Если да – хорошо, они братюни, и можно будет хорошо провести время. Если нет, не отчаивайтесь – повезет в следующий раз.
    2. Хорошенько выспитесь.
    3. Перед проверкой распечатайте последнее уведомление об обработке Оператора.
    4. Если в уведомлении указан один юридический адрес, а Оператор находится совершенно по другому адресу – смело езжайте по первому. Будьте внезапным. Это заставит понервничать ответственного у Оператора. Приятная поездка на другой конец Москвы плюс легальный выходной. Помните наш девиз № 42: Служба в радость!
    5. Вы на месте, внимательно посмотрите, кто пришел со стороны Оператора. Если он пригласил юриста, консультантов и того парня, чей блог вы иногда читаете, значит, ему есть что скрывать. Не паникуйте! Вы тут главный.
  1. Сразу запросите весь перечень проверяемых документов в электронном виде. Если ответственный их предоставляет – он душка, плюс в карму. Если нет, то подумайте, что делать с таким букой. Может быть, дать ему печеньку?
  2. Попросите Ответственного перечислить ИСПДн с персональными данными. Если среди них нет:
    • Бухгалтерской;
    • Кадровой;
    • Системы контроля доступа;
    • Электронной почты;
    • Домена Active Directory (при наличии),

внимательно к ним присмотритесь.

    1. Спросите, есть ли биометрия?
    2. Потролльте ответственного вопросом о видеонаблюдении. Если ответ оригинальный – запишите в книжечку для размещения на нашей Доске крутых отмазок (ДКО).
    3. Проверьте актуальность уведомления и всех данных, в нем представленных.
    4. Посмотрите, кто делал документы по защите персональных данных. Если лицензиат – попросите договор. Если сами – попросите документы о соответствующей подготовке или переподготовке (минимум на 2 человек).
    5. Посмотрите на дату последнего отчета об обследовании. Если ей больше года — мы красавчики. Если меньше, ответственный – красавчик.
    6. Если у Оператора есть самописные или самостоятельно дописываемые системы (1С, SAP, SharePoint, сайт и т.п.), обратите внимание на решение вопроса с НДВ. Если угроза НДВ нивелирована, послушайте объяснение. Если оно хорошее, запишите для добавления в ДКО.
    7. Не будьте букой.
    8. Если Оператор использует облака, мы в Эльдорадо. Если облако зарубежное, то в Эльдорадо-плюс-плюс. Сразу напишите смс коллегам во ФСТЭК и ФСБ, они должны это увидеть.
    9. Посмотрите договор на использование облака. Попросите показать вам пункты, отвечающие за безопасность вообще, и безопасность персональных данных в частности. Попросите копию договора. Ну, а вдруг?
    10. Посмотрите модель угроз. Если много неактуальных угроз – выберите наугад 3 и попросите объяснить. Лучшие ответы запишите для ДКО.
  1. Посмотрите проект на систему защиты персональных данных. Если с вами нет братюнь-экспертов или коллег из ФСТЭК или ФСБ, вам нельзя оценивать технические меры – печалька. Зато можно выписать используемые средства защиты.
  2. Попросите акты установки на все используемые средства защиты.
  3. Послушайте и запишите лучшее, почему вы этого не можете получить.
  4. Не будь букой.
  5. Попросите сертификаты ко всем используемым средствам защиты.
  6. Послушайте и запишите лучшее, почему этого нет.
  7. Не будь букой.
  8. Переходите к осмотру помещения…
Неожиданный конец документа
Найдены новые фрагменты… Сканирую… распознаю

Итоги года и прогнозы на новый

Итоги года и прогнозы на новый (уже в пути)В конец года принято подводить итоги, не будем нарушать традиции. Рабочие итоги подводить не буду, т.к. давно живу мерами финансового года. А финансовый год у меня с апреля по апрель. Но кто мешает подвести промежуточные? Никто. Надо же использовать все возможности для самовосхваления себя любимого. :)

В этом году закрыл внедрение самого большого SOC в Восточной Европе. Ух, это было не просто. Но доволен, об этом я буду рассказывать внукам.

Весь год вместе со всеми боролся с кризисом на рынке. Получилось где-то лучше, где-то хуже.

Сходил на несколько конференций. Тут все печально, за исключением пары светлых пятен. Вендорам видимо подрезали бюджет, и они хотят хапнуть рекламы на все деньги. В бесплатном формате на это можно посмотреть, за деньги – никогда.

Я, наконец, добрался делать собственный сайт. Попробовал быть блоггером, не пошло. В принципе формат меня устраивает – 1-2 поста в неделю, по часу на каждый. За это приходиться платить русским языком, но, думаю, вас это не сильно парит, иначе бы вы это не читали.

Я получил кучу подарков от друзей. И не смог выбрать самый лучший. У Кода Безопасности – самый богатый подгон, у C-Терры – самый уютный и ламповый, у Solar – самый оригинальный, у Intowatch – самый бодрящий. Спасибо всем, что не забываете.

Я вообще люблю Новый год. В это время все подводят итоги, которые крайне интересно читать. Когда выйдет топ от малваре, обязательно расскажу смешную историю с этим рейтингом. Также в это время все делают прогнозы. Из меня херовый прогнозист, все, что я говорю, чаще всего сбывается. Но это прогнозы на локальном масштабе. Это как разница между микроэкономикой и макроэкономикой. Последние ворочают какими-то бешеными показателями, геополитикой и глобальностью. Мне же понятен более простой уровень. Но это мало кому интересно, поэтому заделаю глобальный прогноз на рынок ИБ. 29 декабря 2016, посмотрим, что сбудется. :)

Прогноз на 2016 год по трендам информационной безопасности

  1. 2016 будет не простым годом. В 2016 году кризис нас еще будет терзать. Но уже будет виден свет в конце туннеля. Под конец года, если будет не перевыполнение квоты, то хотя бы серьезный задел на следующий.

Итоги года и прогнозы на новый (2016 не простой год)

  1. Аутсорсинг ИБ не взлетит в следующем году. Сорри, парни.
  2. Нас ждет 2 и более банкротств или серьезного обнищания среди крупных интеграторов и, как минимум, одного вендора.
  3. Будет еще одна волна сокращений. А если из кризиса выберемся к середине года, то и еще одна.
  4. ЗПД все также будет приносить денюжку. Стабильно, но не миллионы.
  5. Прорывами года станут таргетированные атаки (уже пора), АСУ ТП (уже почти) и SOC (поехали к первой станции). От наименее сильного к наиболее.
  6. Я сделаю еще десяток проектов, о которых буду рассказывать внукам.

Всего вам доброго

Про тренды в информационной безопасности: SOC, ЗПД и т.п.

Вернувшись с очередной конференции по новомодным трендам, задумался о вечном. Об истории. По сути, вся история защиты информации в России прошла перед моими глазами, и принимал я в ней деятельное участие. А т.к. я известный цифирькосчет и фрик, решил изучить тренды в информационной безопасности на опыте себя любимого.

Сразу жбахну картинку.

Количество проектов за последние 6 лет

Количество проектов за последние 6 лет

Это разбивка моего опыта выполнения различных проектов по информационной безопасности. Вписал, что помнил. Совсем не стал вписывать, где были просто поставки (без работ). А также не упоминал темы, мало связанные с безопасностью.

До 2011 года я активно выполнял работы сам и чуть-чуть пресейлил. После активно пресейлил и гиповал и чуть-чуть делал сам. Т.к. изменился спектр обязанностей, получился большой разрыв в количестве. Продажи занимают больше времени, чем исполнение (сравнимо с методическими рекомендациями Департамента образования). А ведение проекта не заканчивается с написанием комплекта документов.

Предлагал я весь спектр интеграторских услуг, но в итоге получилось следующее:

Разбивка проектов по типам работы

Разбивка проектов по типам работы

Сейчас пишу и вспоминаю, что еще делал pen- test, внедрял DLP и еще всякое разное, но уж как получилось. Как видно, персональные данные как стали трендом в 2009 году, так и не отпускают пальму первенства.

Количество проектов по защите персональных данных

Количество проектов по защите персональных данных

А вот в процентах тренд виден более явно:

Количество проектов в процентах по защите персональных данных

Количество проектов в процентах по защите персональных данных

И последняя диаграмма: разбиение по отраслям:

Количество проектов по отраслям

Количество проектов по отраслям

Что в итоге?

1. Персональные данные все еще тренд. Спасибо 242-ФЗ.

2. SOCи набирают популярность (надо похвалиться – я приложил руку к одному из крупнейших SOCов в Восточной Европе). Но ввиду масштабности проектов это могут потянуть не все интеграторы.

3. Анализ рисков – тема, о которой все говорят, но мало кто хочет за нее платить. Во всяком случае в отрыве от других работ. А с другими работами — это, скорее всего, с персональными данными.

4. Количество проектов мало влияет на выполнение квоты (но об этом как-нибудь в другой раз). С 2011 по 2014 – личное выполнение плана.

5. В основном ЗПД заказывают или те, кого обязали (госы), или те, кто под прицелом (образование, медицина).

Я знаю, в среде многих известных блоггеров принято ругать защиту персональных данных. Но надо понимать, что это хлеб всего интеграторского бизнеса по информационной безопасности (да и у заказчиков). В 2008 году я ставил CheckPoint и XSpider и выступал с презентациями, как круто аттестоваться по ISO 27001.

Всего вам доброго.