#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Проекты по защите персональной информации, в Европе и США делают с целью снижения операционных и правовых рисков. В России такие проекты выполняют с целью снижения рисков общения с «государством». Отсюда идут особенности российских проектов. Если бизнес реализует проект, стремясь снизить операционные риски, то критерий успешности проекта – реальное снижение операционных рисков. Если бизнес стремится снизить риски связанные с «государством», то где критерий успешности проекта? Очевидно успешное прохождение проверки регулятора. А что если регулятор не придет или придет не скоро, то как оценить качество выполнения работ? На сегодняшний день успешность проекта реально никто не оценивает. В лучшем случае какую-то оценку проведет руководитель проекта со стороны заказчика. Если он подтверждает, что проект успешен, то на этом и «порешили». Супер, но РП может сказать, что проект ему нравится, а регуляторы скажут, что это ерунда. Что тогда? Другими словами, выделить какие-то единые критерии успешности проекта по защите персональных данных сложно.

Учитывая разницу в предлагаемых интеграторами решениями и отсутствие здравых и согласованных позиций регуляторов приводит к тому, что невозможно создать чеклист пройдя по которому можно определить «Хороший проект\Нехороший проект».

Появилась проблема, которую никто решать не стремится.

Большинству интеграторов, в общем-то, все равно (свою оплату они получат), а вот что с заказчиком? Получит ли он должный результат? Вопрос открытый…

За последние 2 с лишним года я провел встречи с представителями более чем с 200 компаний, которые запускали проекты по защите персональных данных. Доводилось сталкиваться с разными ситуациями. Поэтому целью данного слайдкаста я вижу описание некоторых принципов защиты персональных данных на предприятии, а также хочу указать на часто встречающиеся подводные камни, о которых интеграторы не любят говорить.

Истина в обсуждении и практике.

Некоторые из наших уважаемых регуляторов очень хотели и хотят установить жесткие требования, чтобы было понятно, если система такого-то класса, то должно быть установлено то-то. Оценка рисков мешает регулятору по объективным причинам. Если вы классифицируете систему как специальную, то наказать вас как «невыполнившего требования» сложно. Так вот, таких спорных вопросов в теме защиты персональных данных чрезвычайно много. Побеждать в вероятных спорах будут самые подготовленные. Отсюда первый посыл, если вы хорошо разбираетесь в теме и можете аргументировать свою позицию, то проверка вам не страшна.

Договор НУЖНО читать.

Многие решают работать с регулятором для того чтобы переложить на него риски. Желание достойное, но, ни один нормальный интегратор не возьмет на себя ответственность за обработку персональных данных. Ответственность берется за проект. Другими словами интегратор гарантирует, что он выполнит работы в рамках договора, а уж как будет осуществляться обработка после его ухода решать самому оператору. Ключевое слово- договор. В свое время, работая в продажах, я регулярно запускал проекты с крупными заказчиками еще до заключения договора. Это было выгодно как заказчику, так и исполнителю, всем кроме меня и конкретного исполнителя заказника. Мы рисковали своей репутацией. Раньше интеграторы могли себе позволить проводить работы даже в ущерб себе, лишь бы не обидеть заказчика, т.к. последующие контракты могли отбить все расходы. Мы не видели риска больших экономических потрясений и могли быть уверены, что все закончится успешно. Сейчас ситуация поменялась. В наши смутные времена, когда ситуация 2008 года более чем вероятна, лучше приступать к работам только после детального согласования договора.

В договоре на работы может быть указана ответственность сторон, можно переложить на интегратора какие-то финансовые риски, или предусмотреть доработку решения в каких-то случаях. Поэтому в лучшем случае интегратор поможет вам разделить с ним риски, что уже очень здОрово.

Кавалерия может не спасти.

У серьезных интеграторов в штате есть представители регуляторов (в отставке). Это необходимо для успешного GR. И в случае необходимости «кавалерия» может выехать. Все бы ничего, но мероприятие это дорогое, поэтому если заказчик просит обеспечить помощь при проверке, то стоимость этих мероприятий должна отразиться цене договора, плюс эти мероприятия должны быть явно прописаны в договоре, в противном случае все это останется лишь словами. Это же можно сказать и о согласовании модели угроз с регуляторами.

В любом случае не стоит полагаться только на кавалерию. Нужно разбираться в теме самим.

Закон и подзаконные акты – инструмент

Если у «власти» появится желание (причина неважна) надавить на компанию при помощи закона о персональных данных, то никакой проект не спасет. Закон о персональных данных – как и любой другой, это ПРОСТО ИНСТРУМЕНТ, который можно использовать, в том числе и для давления на бизнес. К счастью (для кого-то к сожалению) закон о персональных данных не самый удобный и действенный инструмент давления на бизнес, хотя прецеденты, когда закон использовали в конкурентной борьбе, уже были.

К теме персональных данных нужно подходить с точки зрения управления рисками.

Если провести оценку рисков, связанных с законом о персональных данных, то групповой риск окажется невысоким (сила риска низкая и вероятность также низкая). А раз так, то большинству операторов дешевле ничего не делать, это правда жизни. Однако по ряду причин с государством мы шутить не любим, поэтому стремимся сделать все от нас зависящее, чтобы нивелировать риски. Как я уже говорил, для большинства компаний риск невелик, а вот для неокрепшего отдела информационной безопасности, и работающих там людей этот удар может оказаться фатальным.

На мой взгляд, при проведении работ по защите персональных данных не нужно «выкручиваться» и заниматься какими-то махинациями в документации, например, изо всех сил доказывать, что персональных данных в кадровом холдинге нет. Нужно делать все, что в наших силах, без фанатизма.

Если делать, то делать хорошо.

Не нужно соглашаться на предложения интегратора провести обследование какой-то части процессов, чтобы «поменьше было защищать». Если согласитесь, то в результате не получите ни нормального внедрения, ни проекта, ни обследования. Если не хватает бюджета, то остановитесь на этапе полноценного обследования и проводите остальные работы по мере выделения денег или самостоятельно.

Большинство безопасников не может обосновать бизнесу необходимость покупки средств защиты на десятки миллионов рублей. Если так, то и «не нужно биться головой об стену», донесите до бизнеса риски и сделайте что можете.

Устранить все риски невозможно.

Сколько бы денег оператор персональных данных не вложил, все равно у него не будет гарантии, что вопрос окончательно решен, а раз так, то управляйте рисками.

ИТ и ИБ специалисты должны разбираться в юридических вопросах.

Сложна жизнь современного сотрудника ИТ или ИБ…

Проекты выполняют не компании, а конкретные исполнители

Постоянно сталкиваюсь с фразами типа: «Компания «А» выполнила 20 проектов, а компания «В» выполнила в 2 раза больше, значит нужно работать с «В» (они круче)».

Если год назад компания выполнила 40 проектов, то не факт что сегодня там есть хоть один человек из этого направления. Движение кадров между интеграторами идет постоянно, поэтому, гораздо важнее не количество завершенных проектов, а количество проектов в работе.

На чем зарабатывает интегратор?

Наверное, это один из самых важных вопросов, на который нужно ответить перед выбором интегратора. До заключения договора заказчику желательно примерно понять каков состав выручки у интегратора. Условно интеграторов можно разделить на 2 типа:

1) Те, которые зарабатывают на поставке технических решений
2) Те, которые зарабатывают на консалтинге

В первом случае заказчику могут предложить очень выгодные цены на обследование, разработку документов и т.п. Легко! Ведь на этапах проектирования и внедрения интегратор получит сверхприбыль и с лихвой покроет убытки по консалтингу. Как правило, по такому пути идут крупные интеграторы. У них большие обороты, которые позволяют получать от вендоров хорошие скидки (либо у компании есть свои технические решения). В результате в техническом проекте такие интеграторы традиционно прописывают большое и дорогое внедрение. Недополучив деньги на консалтинге, снять сверхприбыль с внедрения – распространенный трюк.

На консалтинге зарабатывают в основном небольшие интеграторы, у которых нет возможности конкурировать в поставках технических решений с более крупными коллегами. Кроме того у таких компаний часто нет специалистов, которые могут быстро и качественно провести внедрение. В результате такие консультанты стараются закрыть максимум требований организационными мерами, чтобы избежать тяжелого внедрения.

Кто круче, вице-президент или менеджер по продажам?

Не верьте визиткам. Здесь интеграторы пишут все, что хотят. Вы можете вести переговоры с «плохеньким менеджером», а на визитке будет написано что он «первый вице-президент», поэтому даже не стоит читать должности. Если получится, то проследите как они общаются между собой во время встречи и все станет ясно.

Если в сердце дверь закрыта, куда постучаться?

Вы заключили договор с каким-то консультантом. Как с ним работать? Начнем с того, что работаете вы с людьми, а не с компанией. Эти люди занимают разное место по должности и по влиянию.

Кого обычно знает руководитель проекта со стороны заказчика?

1. Продавец\Менеджер по продажам\Менеджер по развитию\Менеджер по работе с корпоративными заказчиками\Директор по развитию\Директор по продажам\Директор по работе с корпоративными клиентами\Вице-президент по продажам и т.п.
2. Менеджер проекта\Менеджер по управлению проектом\Руководитель проекта\Начальник проектной команды\Директор проектного отдела и т.п.
3. Главный инженер проекта\Ведущий консультант по «чему-то»\Главный консультант по «такой-то услуге»\Руководитель направления и т.п.

Тут главное понять, кто и что делает. 1-й это тот с кем вы общались до заключения контракта, от отправлял вам предложения, ездил к вам в гости и т.п. 2-й это тот с кем вы стали общаться после заключения контракта в большей степени, чем продавец. 3-й это, как правило, самый умный 😉 в предмете проекта.

Теперь нужно определить, кто и что из себя представляет, и к кому обращаться по тому или иному вопросу.

Условно интеграторов можно разделить на 2 типа:

1) Продажно-ориентированные

В таких интеграторах Менеджер по продажам – царь и бог 😉 . Он имеет быстрый доступ к первому лицу компании (вне зависимости от размера компании) и может решить возникшую проблему быстро и эффективно. Менеджер проекта и Главный инженер проекта имеют значительно меньший вес.

2) Проектно-ориентированные

В таких компаниях вес всего производственного подразделения значительно выше, веса коммерческого отдела.

Деление условное, и отнести интегратора к тому или иному типу можно очень условно. Однако если вы разобрались, что компания, с которой вы работаете продажно-ориентированная, то по всем серьезным вопросам стоит обращаться к Менеджеру по продажам, который имеет ресурс «повоздействовать» на производственный отдел решить вопрос. В таких компаниях ругаться с Менеджером проекта или Главным инженером проекта просто бессмысленно, ничего серьезного они решить не могут. А раз ругаться смысла нет, то остается только один вариант – дружить с ними 😉 . Если что-то вам не нравится, то стимулируйте их через Менеджера по продажам (и его начальство) и должное внимание вам обеспечено.

Если вы определили, что компания, с которой вы работаете, проектно-ориентированная, то стоит забыть телефон и почту Менеджера по продажам, пусть он вам пишет и звонит. Выстраивать отношения нужно с Менеджером проекта и Главным инженером проекта, также постарайтесь познакомиться с главой всего производственного подразделения, если найдете общий язык, то шансы повысить успех проекта резко увеличатся.

Консультанты врут и заблуждаются.

Рынок защиты персональных данных очень непрозрачен. Есть такая поговорка «Два юриста – три мнения», на тему персональных данных ее можно перефразировать так «Два ИБ-шника – тридцать три мнения». Обсуждение всех коллизий законодательства идет не первый год, и до сих пор даже в рамках блог-сообщества мы не можем прийти к общему знаменателю как минимум по 20% вопросов. И эта ситуация будет продолжаться еще долго. С учетом появления новых тем по информационной безопасности, коллизий будет еще больше.

На этой почве появляется много спекуляций. Многие консультанты откровенно врут в своих интересах. Кроме того лицемерие никто не отменял и в проектах некоторых консультантов для разных «похожих» заказчиков вы можете увидеть прямо противоречащие друг другу утверждения. Больше всего мне нравится такая «подстройка» под потребности заказчика – если заказчик не готов ставить сертифицированные средства защиты (многие западные компании), то интегратор прописывает в своих результатах отсутствие необходимости использования сертифицированных решений и продает по полной программе DLP, западную криптографию и т.д. в качестве средств защиты персональных данных. Мне была бы понятна ситуация, когда исполнителям заказчика все было популярно разъяснено, и он сам запросил несертифицированные решения, однако сплошь и рядом встречаются ситуации откровенного обмана.

Бороться с враньем консультанта можно лишь тогда, когда появятся четкие и прозрачные правила. Пока этого невидно, поэтому заказчику нужно стараться искать Менеджеров по продажам, с которыми он работал и они его не подводили, а еще лучше искать сильные проектные команды которых он также хорошо знает. В крайнем случае, отрасль очень узкая, все друг друга знают, можно поспрашивать коллег и все-таки найти надежных людей.

Автор статьи: Царев Евгений

26 комментариев

    Задумка мне понравилась. Только вот одно пожелание — текст в посте лучше урезать, дабы был смысл слушать. А так — я прочитал текстовку — а потом то же самое прослушал в «трансляции».

    PS С почином 🙂

    Kostya:

    Класс! Глаза отдыхают. Получай информацию глядя в окно. Еще раз послушаю)
    Можно ли отдельно звуковой файл скачать?
    И что за музыка?

    Музыка из Интернов кажется, скачать файл можно тут http://tsarev.podfm.ru/my/1/

    Kostya:

    В самом начале слайдкаста сказал подкаст, а дальше в подкасте сказал слайдкаст 😉
    Музыку не нашел. Подскажите! 😉

    Точно… пропустил…
    Музыка:
    OST Интерны — Funk Theme
    http://www.zaycev.net/pages/7759/775924.shtml?miniplayer=true

    Владислав:

    не надо текст урезать. как раз замечательно что он есть.
    на «прочитать» текст надо 3-5 минут, а на прослушать — 15 (!!!).
    вычленить и записать себе главное — из имеющегося текста удобнее.

    Вот она — разность восприятия материала 🙂

    Чем больше вариантов тем лучше))))

    Масловский Борис:

    Спасибо! Сам слайд-каст интересен, да и вообще впечатление от такой подачи информации хорошее =)

    Юджин:

    Класс! Очень необычно! Евгений, может телеканал сделаете?

    Виктор:

    Евгений, зачем так выкладывать внутреннюю кухню интеграторов, так же все начнут умные вопросы задавать, консультантов разгонят, менеджеры по продажам пойдут в ритейл, все пошел искать новую работу. 🙂
    А так хорошо рассказал пускай клиенты всё-таки понимают какая мотивация у исполнителя при проведении работ.

    Правильно, правильно, хоть работать начнете)))

    Никакого секрета ведь нет. Наоборот, отсутствие открытости порождает кучу слухов и неверных суждений. Например, когда мы с Алексеем писали совместную статью многие его суждения мне казались неверными. Например, мнение, что интегратору все равно какой проект сделать лишь бы денег срубить. Действительно, есть такие кто не думает о своих клиентах, но нормальные конторы все равно заботит репутация, однако они работаю по проекту (договору) и если что-то выходит за его пределы, то они резонно просят дополнительные деньги. Это бизнес. К сожалению сам клиент это может расценить как обман. Чтобы такого не было, он должен понимать «кухню», я так считаю.

    Нуууу, так уж и многие 😉 На самом деле, как показывает мой личный опыт работы с интеграторами, над ними нужно стоять и постоянно пинать, а в предмете «интегрирования» нужно разбираться еще лучше чем они, чтобы их контролировать. На мой взгляд, интеграторов нужно привлекать в двух случаях: первый — когда работа носит проектный характер и нецелесообразно нанимать своих сотрудников на время, или когда у конторы нет лицензий от всяких регуляторов (или возможности их получить).

    Не уж то из Леты уволились?)

    Здорово и знакомо, перепостил.

    Камня в огород ЛЕТы нет, как раз таки наоборот.
    Спасибо за перепост.

    Кстати тоже вчера зарегистрировал домен в зоне .рф , профанация какая-то)))

    Евгений ! Замечательно ! и концепция и медиа и плотность информации на единицу времени !… браво…
    По моему тебе наконец удалось найти форму выражения!
    Желаю тебе продолжать именно в этой форме !

    Благодарю за одобрение, для меня это важно.
    Кстати, официально предлагаю осветить тему рынка труда ИБ по результатам работы http://wikisec.net/ , что скажешь?

    Обязательно проведем…
    Только сейчас нужно выполнить некоторые действия:
    1 — хорошая система контроля посещений включена не так давно
    2 — сам проект очень молодой и не особенно известный
    3 — некоторые элементы дорабатываются
    4 — есть особенности поиска работы в нашей узкой области — хорошие места как правило по знакомствам (профессиональным а не родственным конечно)

    Это все можно учесть… но может быть пока рано ?! Хотя первый анализ так же может быть элементом рекламы…
    Между нами — создается система статистики биржи труда — тоже будет дорабатываться… + гибкая система тестов для широкого круга лиц(уже работает но вылизывается)

    Виктор:

    Евгений естественно что интегратор делает все по договору, но есть несколько подводных камней по моему мнению:
    1) Перед заключением договора менеджеры по продажам такого наговорят клиенту, половина не будет в договоре, и еще будет немало тог что не озвучивали.
    2) Конкурс объявлен, компания выиграла предоставив ТКП, а в договоре будет запросто другое (по другому сформулировано).
    3) Договор с завидным постоянством идет на изучение к юристом которые смотрят со стороны закона, все правильно подписываем.
    4) Часть формулировок в договорах мутная и может читаться по разному интегратором и клиентом (к примеру в договоре о обследовании четко описывается что центральный офис смотри физически, регионы опросниками в которых указываться все системы ИСПДн, но клиент может и не знать что договора на файловом шаре считаться ИСПДн, или к примеру почта, он искрений думает что это не персональные данные, а ему и не говорят пиши в опроснике все, упустишь это момент и потом разбирайся что продал сейл, «а они умные однако все знают, все понимают»)

    Хорошее замечание.
    Согласен, застраховаться от всех случаев нельзя. Таких НО появляется еще больше, поэтому лучше работать с проверенными продавцами и исполнителями. Других вариантов значительно снизить риски просто нет.

    Еще очень важен вопрос — «корень дерева»
    Когда госконторы формируют конкурсную документацию на выполнение работ — порой (да чаще всего) там ТАКОЕ пишут, что выполнить невозможно + включают гарантии + ответственность за 3х лиц(стороны) и т.п. Что тоже приводит к проблемам при выполнении и сдаче работ…

    Не согласен. Иногда группа консультантов могут сделать работу в сто раз быстрее и качественнее, чем эти известные конторы. Потому как чем известнее — тем больше их распирает от собственной важности. Хороший пример не из ИБ — коллекторские агентства 😉

    Виктор:

    Эх проверенные интеграторы… Это конечно хорошо, но большинство интеграторов, (да же крупных, толком не занималась конфиденциалкой) имеет в своем штате 1 эксперта, да и то постоянно приходиться бегает в аттестующий орган что бы все согласовать, а подавляющая часть все отдает на субподряд. А умные клиенты сразу говорят конкурс вы выиграли но реальные работы должна проводить вот та организация, они имеют представление что делать, а у вас имя громкое только.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.