03.04.2013

О коллективной работе над нормативными документами по защите информации

Так сложилось, что мне в последнее время довелось и доводится участвовать в работе над проектами различных нормативных актов по информационной безопасности:
  • документы ФСТЭК по персональным данным, государственным информационным системам и т.д.
  • документы ПК1 ТК122 по стандартизации финансовой безопасности
  • Стратегия кибербезопасности Российской Федерации
  • проекты РАЭК
  • проекты Роскомнадзора
  • проекты НП НП
  • документы Банка России
  • и т.п.
Форма моего участия в таких работах различная - от разработки требований до экспертизы готовых документов. И вот какие впечатления от всех этих работы у меня сложились:
  1.  У проекта должен быть четкий владелец, который должен обладать всей полнотой власти и принятия решения о включении или невключении в нормативный акт предложений участников. Как не парадоксально, но у одного из описанных выше проектов это требование не выполняется - инициаторы заявили, что они только модерируют процесс и собирают разные мнения, вставляемые в разрабатываемый документ. В итоге сейчас получается винегрет, т.к. у участников процесса разное видение и самой темы, описываемый в проекте нормативного акта, и результата всей работы.
  2. У проекта должна быть заранее определенная цель, понятная всем участникам. Чтобы не было ситуации, когда цель меняется по ходу или ее вообще нет, а инициаторы проекта решили либо просто попиариться, либо не до конца сами понимают во что ввязываются.
  3. Все участники проекта должны использовать единую терминологию, чтобы не тратить время на обсуждение сути терминов "кибербезопасность", "информационная безопасность", "защита информации", "платежная система", "международная платежная система", "машинный носитель персональных данных" и т.п. Решить эту задачу можно либо использованием заранее созданного глоссария или предварительным созданием такого глоссария. Он полезег и работа по созданию глоссария точно впустую не пропадет.
  4. Определите Scope. Это классика управления проектами, но и про нее тоже часто забывают, затевая разработку документа с неочерченными границами. Например, стратегия кибербезопасности. Что входит в это понятие? Военно-политические угрозы? Террористические? Или только криминальные? Или планируемый в ПК1 ТК122 документ по лучшим практикам в области защиты информации при осуществлении денежных переводов. Очевидно, что форм безналичных расчетов в рамках НПС существует масса - платежные поручения, инкассо, чеки, электронные денежные переводы и т.п. И форм электронных средств платежа тоже немало. Я не говорю про то, что даже в самом Банке России (и его территориальных учреждениях) до конца не определились, что же такое электронное средство платежа. Кто-то к ним относит ДБО, кто-то нет. Кто-то относит к электронным переводам Western Union, а кто-то нет.
  5. Не пользуйтесь Почтой России для коммуникаций с участниками. Аккурат недавно со мной произошел такой случае. 6 февраля (!) Минюст выслал мне приглашение поучаствовать в мониторинге правоприменительной практики по ФЗ-152. Получил я это приглашение 1-го апреля - вот такая шутка от стратегического объекта для России под названием "Почта России".
  6. Всегда отвечайте! Отвечать "ваши предложения получены" - это правило хорошего тона при переписке. Все-таки e-mail, часто используемая для связи участников проекта, - это канал негарантированной доставки сообщений, а СЭД или онлайн-порталы совместной работы (например, Битрикс24 или Мегаплан из отечественных) мало где применяется. Еще лучше, когда на каждое присланное предложение поступает ответ - принято или нет. Если нет, то почему. Гдавное подойти к этому не формально. А то помню я, как ФСБ отвечало на многие предложения по внесению изменений в проект ПП-1119, - "считаем нецелесообразным".
  7. Не забывайте про регуляторов! Да, так тоже бывает. Далеко не все проекты нормативных актов или концепций/стратегий готовятся по инициативе ФСТЭК или ФСБ (как минимум). Но они тоже игроки на поле отечественной ИБ и если про них забыли (случайно или намеренно), то они могут и обидеться. А это значит, что документ не пустят дальше и зарубять его на корню (даже если идея документа здравая и могла бы быть поддержана регуляторами). Таких примеров тоже полно. Проект Постановления Правительства по надзору в сфере ПДн, методичка ДИСа по защите ДБО, стратегия кибербезопасности и т.п.
  8. Не раздувайте штат экспертов. В психологии есть правило "7 плюс-минус 2". Именно столько экспертов должно быть в группе по разработке или экспертизе документов. Принимать предложения можно от кого угодно (наверное) и для этого даже есть идеи в некоторых проектах запускать целые краудсорсинговые платформы. Но вот анализировать их и принимать или отсекать (с учетом пункта 6) должна небольшая группа, которая гораздо эффективнее решает многие вопросы, чем скопища на 15-20-40 человек. Это и быстрее и консенсус находится лучше. Если же выслушивать каждого из 30 человек, то на заседания и обсуждения уходят часы вместо минут.

Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.

ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.

10 коммент.:

ZZubra комментирует...

Есть у нас в стране такая организация "Аналитический центр при Правительстве Российской Федерации", которая готовит доклады по различным вопросам и был у них доклад http://www.ac.gov.ru/files/21doklad.pdf в котором собственно и поднимается вопрос создания проектных офисов в органах исполнительной власти всех уровней.

Ежели рассматривать создание нормативного акта, как проект (что собственно и представлено, особенно словом scope), то осталось только реализовать предложения этого аналитического центра, научить людей в ОИВ делать проекты, а не только заниматься текущей (операционной) деятельностью и все эти ошибки сойдут на нет.

Для примера реализации приведу еще пару ссылок: http://www.dkp31.ru/project и http://admchern.ru/project-management/projects-2012/

Осталось понять что есть функциональный, операционный и проектный подходы, научиться их применять в нужных местах, чтобы наступило счастье в нашей отдельно взятой стране :)

Евгений комментирует...

2ZZubra: Чтобы наступило счастье в нашей отдельно взятой стране, надо сначала всех людей поменять. Желательно на новых :)

ZZubra комментирует...

Ээээ нет! С таким подходом вообще браться за работу не надо )))) Люди - данность. Бардак - данность. Это условия задачи. И менять их нельзя. Вот при таких условиях и надо решать задачу.
Причитание (решение) "хорошо бы если бы наша новая организация подчинялась лично Президенту РФ и финансировалась как DARPA в США" - фуфло, которое должно сразу сливаться в унитаз ))))

Сергей Борисов комментирует...

Алексей, а не противоречат ли друг другу 7 и 8 пункт?
Если взять трех а то и четырех регуляторов + одного двух организаторов то для других участников места нет.

Алексей, не боитесь что, если организатор жестко ограничит количество участников, то вы и другие блогеры могут не попасть в их число?
И тогда опять начнутся статьи типа "не учитываются мнения экспертного сообщества", "не учитываются интересы бизнеса" и т.п.

Сергей Борисов комментирует...

И ещё есть такой острый пункт на счет экспертов, которые готовы регулярно заниматься работой на общественных началах:

если размышлять объективно, то это возможно в следующих редких ситуациях
- либо такой эксперт должен быть безработным и не иметь необходимости кормить себя и семью
- либо такой эксперт работает на компанию на пол ставки а в остальное время делает что хочет, при этом зарплаты за пол ставки должно хватать чтобы ни в чем не нуждаться
- либо работодатель специально берет на работу такого эксперта, чтобы оказывать благотворительность в целях повышения общего уровня ИБ в стране или определенной области

когда появляется один-два таких эксперта это можно понять как некое исключение - что действительно произошла эта редкая ситуация.

когда таких экспертов появляется 50 (по 7 экспертов на 7 документов )
то начинаешь задумываться, а всё ли тут чисто? даже если сейчас эксперты работают чисто и безвозмездно, то где гарантия что в дальнейшем не появятся лица лоббирующие чьи-то интересы?

даже если не лоббируют, а просто делают так чтобы компания, в которой они работают, не пострадала.
другие сотни компаний этого сделать не имеют возможности и после выхода документа окажутся в проигрышном положении

ZZubra комментирует...

Недавно Путин, разговаривая с Рогозиным по поводу ракетной отрасли и обсуждения направлений дальнейшей деятельности, потребовал создавать рабочие группы не более чем по 7 человек. Если вопрос сложнее, то делить его на подвопросы, которые могут решать не более чем 7 человек. Как-то так.

ZZubra комментирует...

По экспертам. Так и должно быть, чтобы каждый тянул одеялку на себя (бардак+имеющиеся люди). Вот чем больше при равных условиях будет тянущих, тем более устраивающий всех вариант и родится. Это дело заинтересованных в результате лиц выделять ресурсы на такую работу (оплачивать человека). А вот независимые эксперты - это как раз представители "от народа", как "пока" не заинтересованного лица (пример: субъект ПДн VS банки&операторы мобильной связи при создании новой редакции ФЗ152).
А задача устроителя (менеджера проекта?) обеспечить равные условия.

Сергей Борисов комментирует...

ZZubra, так если в рабочей группе 7 человек, то все желающие потянуть одеяло не влезут.
Не говоря уже о представителях "от народа"

Просто раньше (например 2 года назад) всё примерно так и было как хочет Алексей.
К примеру ФСТЭК просил одного доверенного лицензиата разработать новую версию документа (четырехкнижье), далее высылал ещё на рецензирование ещё 5-7 хорошо зарекомендовавшим себя лицензиатам. Потом ФСТЭК собирал со всех предложения и собственноручно (с участием первого самого доверенного лицензиата) выпускал итоговую версию документа. При этом все пункты описанные Алексеем Лукацким выполнялись.

Но по некоторым причинам, данный подход был подвергнут резкой общественной критике.

ZZubra комментирует...

А если разделить тех, кто подает предложения и тех, кто их рассматривает, то все станет на места.
Возьмем, к примеру, закон об образовании:
- многие тысячи предложений
- онлайн правка/предложения (в несколько этапов)
- различные группы и комитеты
- профессиональные сообщества
- единый комитет
- совет по рассмотрению предложений в ГД
- депутат, который объясняет почему принято и отклонено каждое дошедшее предложение
- депутаты которые голосуют
Закон готов.
Рабочие группы во всей этой системе небыли большими. Те самые 7+/-2 (только не путайте со сбором предложений в форме семинаров - там один из представителей рабочей группы просто собирает предложения для дальнейшего обсуждения в узком кругу)
Но все держится на организаторе. Он должен быть един. Заинтересован в результате. Не заинтересован в лоббировании.

Алексей Лукацкий комментирует...

Сергей, группа из 7 человек должна аккумулировать, обсуждать, принимать и отбрасывать предложения. А самих предложений может быть много.

В группу должны входить эксперты из разных областей - госы, коммерсы, "иностранцы" и т.п.