Регуляторов ругают все и на каждом углу. Это модно и даже как-то несолидно поддерживать наших многочисленных регуляторов по информационной безопасности. Пусть их. Давайте поглядим в будущее? 31 декабря 2012 года. Без одной минуты полночь. Подавшись порыву, вы пишете заветное желание "Чтобы в новом году не было регуляторов" на бумажке, сжигаете ее и под бой курантов запиваете образовавшийся пепел шампанским.
И, о, чудо, после новогодних праздников Президент подписывает указ о том, что все коммерческие организации предоставлены сами себе в деле обеспечения своей информационной безопасности. Ни ФСТЭК, ни ФСБ, ни ЦБ, ни РКН, ни другие регуляторы больше не властны над вами и вы самостоятельны в выборе любого решения, любой стратегии по защите своих информационных активов. Свершилось! Теперь-то вы заживете как в лучших домах Лондона, т.е. как лучшие иностранные компании, несвязанные никакими регуляторами и имеющие возможность заниматься "чистой ИБ".
Но если не по правилам регуляторов, то по каким правилам развиваться тогда службе ИБ? Куда стремиться? Чьи распоряжения выполнять? Как чьи? Бизнеса! Именно он платит деньги и именно определяет, чего ждет от ИБ. А ждет он вполне конкретных вещей. Управлять затратами, следовать бюджету, увязывать проекты с потребностями бизнеса, уметь доказывать приоритет своих проектов над другими, находить общий язык с другими подразделениями, оценивать риски с точки зрения бизнеса, управлять персоналом, быть психологом. Но главное - показывать value, т.е. ценность! Ценность не с точки зрения выполнения мало кому понятных, а временами и вовсе ненужных нормативных актов. Ценность с точки зрения бизнеса.
Что такое ценность для бизнеса? Тут вариантов может быть вагон и маленькая тележка. Возможность проведения географической экспансии на новые, еще неосвоенные рынки. Рост числа сделок за тот же период времени. Снижение цикла сделки. Рост лояльности заказчиков и контрагентов. Снижение себестоимости продукта или услуги. Да мало ли что еще может быть интересно бизнесу.
Готовы ли вы к этому? Готовы ли вы жить по новому, без оглядки на "старших" товарищей, которые пусть и выпускают параноидальные требования, но все-таки дают вам возможность заниматься традиционной ИБ без всех этих глупостей с ROI, IRR и NPV проектов по защите информации. Есть требования законодательства и точка. Несоблюдение влечет за собой штраф или уголовное наказание (например, за отсутствие лицензии ФСБ). Все предельно понятно и четко.
А как жить без регуляторов? Чем прикрывать свои действия? Чем обосновать свою деятельность? Где научиться новым правилам игры? А есть ли переходный период? А что, а как?... Вопросов много, а вот ответов на них сходу и не придумаешь. Да еще таких, чтобы устраивали бизнес. Может ну его нафиг эту ИБ "как на Западе"? Может постаринке, как в армии: устав есть - выполняй и никакой самодеятельности? Да, на вершину бизнеса не поднимаешься; что есть, то есть. И на встречу топ-менеджеров не позовут. И компенсационный пакет не такой, как у реальных CxO. Но зато и тут внизу, на уровне начальника отдела технической защиты информации, тоже бывает интересно. А еще тут тихо и спокойно. Все риски пусть принимают там, наверху, а мы свои нервные клетки будем беречь. Тоже ведь стратегия. И ничем не хуже прозападной. Работы и в этих авгиевых конюшнях по разгребанию нормативной базы, которая сыпется как из рога изобилия, достаточно. А значит мы не пропадем и будем востребованы еще долго. Что еще нужно, чтобы встретить старость? А на Запад пусть равняется молодежь. Туды ей и дорога.
2 дороги, 2 сценария, 2 стратегии. Какой отдать предпочтение? Той, что привычна и знакома и не несет никаких сюрпризов? Или той, которая таит неизведанность? Не могу подсказать. У каждой есть свою плюсы и свои минусы. Истина, как всегда, где-то посередине. Но если уж вы выбрали бизнес-ориентированный путь, то есть ли у вас план действий в кризисной ситуации, которой может стать исчезновение регуляторов? Может пора начать его готовить? Мало ли что может произойти в новогоднюю ночь?.. Желания, высказанные множеством людей, имеют обыкновение сбываться...
И, о, чудо, после новогодних праздников Президент подписывает указ о том, что все коммерческие организации предоставлены сами себе в деле обеспечения своей информационной безопасности. Ни ФСТЭК, ни ФСБ, ни ЦБ, ни РКН, ни другие регуляторы больше не властны над вами и вы самостоятельны в выборе любого решения, любой стратегии по защите своих информационных активов. Свершилось! Теперь-то вы заживете как в лучших домах Лондона, т.е. как лучшие иностранные компании, несвязанные никакими регуляторами и имеющие возможность заниматься "чистой ИБ".
Но если не по правилам регуляторов, то по каким правилам развиваться тогда службе ИБ? Куда стремиться? Чьи распоряжения выполнять? Как чьи? Бизнеса! Именно он платит деньги и именно определяет, чего ждет от ИБ. А ждет он вполне конкретных вещей. Управлять затратами, следовать бюджету, увязывать проекты с потребностями бизнеса, уметь доказывать приоритет своих проектов над другими, находить общий язык с другими подразделениями, оценивать риски с точки зрения бизнеса, управлять персоналом, быть психологом. Но главное - показывать value, т.е. ценность! Ценность не с точки зрения выполнения мало кому понятных, а временами и вовсе ненужных нормативных актов. Ценность с точки зрения бизнеса.
Что такое ценность для бизнеса? Тут вариантов может быть вагон и маленькая тележка. Возможность проведения географической экспансии на новые, еще неосвоенные рынки. Рост числа сделок за тот же период времени. Снижение цикла сделки. Рост лояльности заказчиков и контрагентов. Снижение себестоимости продукта или услуги. Да мало ли что еще может быть интересно бизнесу.
Готовы ли вы к этому? Готовы ли вы жить по новому, без оглядки на "старших" товарищей, которые пусть и выпускают параноидальные требования, но все-таки дают вам возможность заниматься традиционной ИБ без всех этих глупостей с ROI, IRR и NPV проектов по защите информации. Есть требования законодательства и точка. Несоблюдение влечет за собой штраф или уголовное наказание (например, за отсутствие лицензии ФСБ). Все предельно понятно и четко.
А как жить без регуляторов? Чем прикрывать свои действия? Чем обосновать свою деятельность? Где научиться новым правилам игры? А есть ли переходный период? А что, а как?... Вопросов много, а вот ответов на них сходу и не придумаешь. Да еще таких, чтобы устраивали бизнес. Может ну его нафиг эту ИБ "как на Западе"? Может постаринке, как в армии: устав есть - выполняй и никакой самодеятельности? Да, на вершину бизнеса не поднимаешься; что есть, то есть. И на встречу топ-менеджеров не позовут. И компенсационный пакет не такой, как у реальных CxO. Но зато и тут внизу, на уровне начальника отдела технической защиты информации, тоже бывает интересно. А еще тут тихо и спокойно. Все риски пусть принимают там, наверху, а мы свои нервные клетки будем беречь. Тоже ведь стратегия. И ничем не хуже прозападной. Работы и в этих авгиевых конюшнях по разгребанию нормативной базы, которая сыпется как из рога изобилия, достаточно. А значит мы не пропадем и будем востребованы еще долго. Что еще нужно, чтобы встретить старость? А на Запад пусть равняется молодежь. Туды ей и дорога.
2 дороги, 2 сценария, 2 стратегии. Какой отдать предпочтение? Той, что привычна и знакома и не несет никаких сюрпризов? Или той, которая таит неизведанность? Не могу подсказать. У каждой есть свою плюсы и свои минусы. Истина, как всегда, где-то посередине. Но если уж вы выбрали бизнес-ориентированный путь, то есть ли у вас план действий в кризисной ситуации, которой может стать исчезновение регуляторов? Может пора начать его готовить? Мало ли что может произойти в новогоднюю ночь?.. Желания, высказанные множеством людей, имеют обыкновение сбываться...
Алексей, прости конечно, но посты на тему какие хорошие регуляторы и как зря мы их ругаем уже становятся недоброй традицией твоего блога. Принцип "плохо, но стабильно лучше чем по-новому, но с неясными последствиями" отдает глубоким (почти советским) консерватизмом. Но каждый конечно имеет право на свою позицию, у тебя она такая, у других иная.
ОтветитьУдалитьНикто не говорит, что регуляторов не должно быть. Регуляторов просят об одной простой вещи: создать инструмент взаимодействия с экспертным сообществом и к этому самому сообществу прислушиваться. Вот и все. И тогда не будет ни этой галиматьи с персональными данными, ни этого ужаса с идиотическими попытками цензурировать интернет и пр.
Оставляя в стороне "с регуляторами/без них", а обращая внимание на "создать инструмент взаимодействия с экспертным сообществом и к этому самому сообществу прислушиваться" захотелось :) сказать следующее:
ОтветитьУдалить- у нас НЕТ экспертного сообщества, потому как "сообщество" по своей сути некомерческая/волонтерская организация (даже не в юридическом смысле), которая не имеет целью получение прибыли, а таковых не наблюдается
- у нас нет единого подхода, правил, стандартов ВЗАИМОДЕЙСТВИЯ
- регулятор никогда не занимался и не знает как организовывать такие сообщества (установить правила взаимодействия), да еще такое сильное противодействие от "экспертов" в случае попытки установить такие правила
Это опять же по верхам. Если чуть глубже, то по Минцбергу "механистическая бюрократия" для взаимодействия с иными формами организаций, чтобы хоть как-то говорить на одном языке создает сообщества, комиссии и т.п. Но все это все равно в парадигме "механистической бюрократии". Все решения таких сообществ отражают строгую регламентацию, присущую такому типу оргструктуры.
Так сказать, по-науке :) должна появиться (сама!) некоммерческая организация, установить правила игры, придумать все стандарты, придумать правила создания стандартов (все как в лекциях Лукацкого), а при наличии такой организации регулятор с радостью отдаст ей всю проблемную часть, оставив за собой надзор, контроль (может быть отдельных направлений), определение концептуальных подходов и взаимодействие по вопросам стандартизации ИБ только с одной организацией.
Возможно ли это в России? Таки да! Пример: http://www.pmi.ru/ еще http://www.pmi.ru/about/volonter.php и http://www.pmi.ru/about/moscow.php
в последнем обращу внимание на представляемые организации: Sochi 2014 Organizing Committee, ZAO Raiffeisenbank, Russian Railways, Eldorado, Russian Standard Bank, Todes Ltd., MegaFon, Sberbank of Russia и многие другие.
А начинали все это несколько энтузиастов, решивших перевести PMbok. А тот перечень лиц, входящих в совет - это все кто в России сдал экзамены по русскому PMbok (раньше это был список сдавших экзамены). Вот и сообщество, к которому прислушиваются даже федеральные исполнительные органы (Сочи в пример - там вообще команда проектировщиков с самого начала сертифицировалась).
Но в нашей среде ИБ такое ПОКА маловероятно! Тех кто не хочет жить "по правилам", соглашаться "с ограничениями" в сообщество не сплотятся. Потому и нет экспертного сообщества, потому и регулятивный путь все еще остается единственным.
На самом деле стратегий много, а тут предлагается выбрать из двух крайностей. Это нонсенс. Считаю, что человек занимающийся, профессионально, вопросами ЗИ крайностей не приемлет заведомо как ложное решение. Гибкость в принятии решений, нестандартность мышления (в силу не всегда корректно имеющейся в наличии законодательной базы) всегда отличали специалистов по ЗИ от многих других специальностей.
ОтветитьУдалитьА по посту Алексея тоже имею что сказать :)
ОтветитьУдалитьЕсли отменить все требования и регуляторов, то первой волной смоет практически весь рынок ИБ, т.к. он останется без финансирования и соответственно загнется. Останутся островки "некомпетентности" ИБ в госсекторе.
По прошествии нескольких лет, бизнес под давлением практики все же осознает, что ИБ нужна и начнет потихонечку формировать свою экосистему.
Итого, спустя 5-10 лет в России начнется формироваться "новая ИБ", естественно вспоминая а как оно было раньше. А специалист, как летчик - быстро не воспитывается и не учится, стандарты не разрабатываются за неделю, сложные системы не проектируются за 3 дня...
Грустно, но те кто ИБ занимается вполне найдут себе занятие, например, администрирование сетей. Собственно с чего все и начиналось.
Возраст одновременно берет, но и дает "свое".
ОтветитьУдалитьУ всех берет - энтузиазм, авантюризм.
Не у всех - оптимизм.
Всем дает - опыт, усталость, пессимизм.
Не всем -мудрость.
Утопическая новогодняя картинка "без регуляторов" может веселить авантюристически настроенных энтузиастов, безудержно верящих в идеалы анархизма или "свободного" рынка.
Опытных, уставших мудрецов эта картина огорчает.
А огорчает потому, что очень хочется, чтобы эти самые авантюристически настроенные энтузиасты жили и плодились в стране "не дураков, а гениев".
У Златы Литвиновой есть хорошие стихи, созвучные обсуждаемой теме, в них - мораль:
"Все чаще меня огорчает твое безучастье..
И в душу вползает почти осязаемый страх…
- Я просто такой… Принимай, если хочется счастья… Люби, пока я позволяю смотреть себя в снах… Ответное чувство считаю придуманной чушью… Не надо надежды с реальностью нашей ровнять.
*Намного спокойнее быть образцом равнодушья* Дыши, пока я позволяю собою дышать…"
Согласен с А.Бондаренко, претензии не к наличию регуляторов, а к их деятельности. А автор блога заблуждается, любой нормальный специалист по ИБ никогда не опирался на требования исключительно регуляторов, тем более что это тенденция последних 5 лет от силы... Ничего с исчезновением обязательных требований не изменится. Да, у некоторых компаний будут уменьшены бюджеты на ИБ, зато можно будет говорить о нормальной конкуренции на рынке...возможно.
ОтветитьУдалитьВ общем опять постановка вопроса автором некорректна. Ответ - готовы конечно...
Маленькая поправка - регуляторы как они есть сейчас исчезнут, а появятся существенные штрафы за ущерб, нанесенный утечками информации либо произошедший из-за взлома ИС, реальная методика оценки такого ущерба, и реальные дела по таким фактам. Вот в таком мире хочется жить и работать.
ОтветитьУдалитьЗЫ. В психологии проводился эксперимент, что будет с человеком, который постоянно выполняет абсолютно бесполезную работу прекрасно осознавая ее бесполезность. Проводился на студентах и им за это платили деньги (чтобы был все-таки некий стимул к ее выполнению). Результат плачевен - кто вовремя не вышел из проекта, почувствовав протест организма, был в итоге вынужден лечить от различных неврозов и расстройств.
К чему это я ... к сожалению иногда накатывает ощущение, что моя работа по выполнению требований регуляторов очень напоминает этот эксперимент, поскольку по большей части не имеет отношения к реальной безопасности, а только выполнение требований, чтобы получать за это деньги.
А отношение к регуляторам как к детям - регуляторы не плохие, просто они пока делают плохо. Но они исправятся, мы верим в это :)
ОтветитьУдалитьЛеша, ты провокатор, конечно :)) Единственно, что замечу - в лучших домах Лондона тоже основным стимулом ИБ является выполнение требований регуляторов (не всегда государственных).
ОтветитьУдалитьСамое смешное - ничего, кардинально, не изменится, коллапса не случится:
ОтветитьУдалить80-85, как ничего, по сути, не делали, так ничего делать (по сути же) и не станут, 10, как тратили впустую (соглашаясь со всеми предложениями вендоров), так и продолжат тратить.
Останутся единицы, уже проникшиеся и культивирующие то что они понимают под ИБ, только без возможных кар за несоответствие своего видения видению регулятора.
Саша, каждый видит то, что видит. Коллеги в FB видят в посте не прославление регуляторов, а наоборот - их критику. И вообще не надо буквально трактовать все мои посты ;-)
ОтветитьУдалитьКоллеги! Приятно было читать ваши выступления. В каждом есть здравые мысли и предложения. В дополнение к уже сказанному изложу и свои соображения на эту тему.
ОтветитьУдалитьПро "регуляторов".
Перечисленные в качестве "регуляторов" конторы появились не вчера, и даже не 5 лет тому назад. Они появились давно. Но "регуляторами" они стали недавно (2-3-5 лет тому назад). Новое название - регуляторы - только отразило суть происходящих событий. До этого даже ФСТЭК (Гостехкомиссию) никто никогда не называл "регулятором". Это был научно-методологический центр решения проблемы ТЗИ. Он осуществлял проверки, но в ограниченных масштабах, а их главной целью было не наказать, а оказать помощь. Поэтому я за то, чтобы "регуляторов" не было. По содержанию. Конторы пусть будут, но главной их задачей должна стать методическая и методологическая помощь бизнесу и власти.
Про "сообщество".
Сообщество или, вернее, сообщества у нас есть. Ведь сообщества - это не обязательно формализованные и структурированные объединения. Это могут быть и стихийно сложившиеся ситуативные неорганизованные образования. Пример - данная площадка. Но у нас действительно нет механизма учёта мнения этого "экспертного сообщества". Мы дискутируем, пишем статьи,письма в разные инстанции, обращения и т.д. и т.п., а в ответ - тишина .... Оно - мнение сообщества - никому не интересно. А если даже и интересно, то только на личностном уровне. Механизма учёта мнения экспертов нет. Вот его и следовало бы создать.
Про "стратегии".
Их действительно может быть много, но для анализа всегда берутся крайности. Но лучший из возможных вариантов - "срединный путь". Пусть "регуляторы" станут "помощниками" и разрабатывают, но не навязывают, методики и технологии, а специалисты принимают решения, выполняют их и несут за них. ответственность.
Про "дураков" и "гениев".
Дураки очень часто считают себя гениями. Но бывает, что гении начинают считать себя дураками. Это случается, когда гениев постоянно растирают и заставляют заниматься дурью. Евгений привёл замечательный пример на эту тему. Вот только из эксперимента, который проводят с нами, нельзя выйти. Нет, конечно, выйти можно. Но куда можно, туда не хочется, а куда хочется - туда нельзя. Вот такая, понимаешь, новогодняя загагулина-кругогулина получается.
А, вообще, даосы говорят, что мечтать вредно. Излишняя мечтательность приводит к сердечно-сосудистым заболеваниям. С другой стороны, мечты сбываются ...
Ну вот. Отклассифицировали, обобщили, подвели итоги. Дискуссия закончилась. А только спорить стали... Эх... :)
ОтветитьУдалитьИзвините, что так получилось. Не рассчитывал на такую реакцию. Напротив, очень хотелось бы продолжить обсуждение. Интересная ведь тема.
ОтветитьУдалитьТак дисскутируйте ;-) Кто мешает? ;-)
ОтветитьУдалитьНе в целях возобновления дискуссии, а в целях восстановления справедливости, хочу поддержать автора поста. Не всех "регуляторов" и не всегда стоит ругать. У нас только что закончилась ФСТЭКовская проверка. Впечатление самое благоприятное. Профессионально, по-деловому и в тоже время доброжелательно. Люди абсолютно адекватные. Только документы оставляют желать лучшего.
ОтветитьУдалитьСпасибо Г.Атаманову за доброе слово о коллегах из ФСТЭК. А ZZubra - реальный Нострадамус.
ОтветитьУдалитьНачиная с 1989 г. строили государствнную систему ЗИ как могли, как понимали;
Ломать - не строить, но логичнее было бы - совершенствовать,
> Ломать - не строить, но логичнее было бы - совершенствовать,
ОтветитьУдалитьВаши претензии к "молодому поколению" были бы обоснованы, если бы давали совершенствовать.
Для меня, к счастью, изменится очень мало. А что сдохнет, то ИБ называться никогда и права не имело.
ОтветитьУдалитьДумаю, что никто и не считал тогда, что ломает. Они-то думали, что совершенствуют. Просто совершенствовать посудную лавку пригласили медведя. А теперь мы имеем то, что имеем. И молодёжь здесь ни при чём. На молодёжь (вернее - отдельных её представителей) только и надежда. Может быть они "придут, сменив уют на риск и непомерный труд, пройдут тобой не пройденный маршрут"?!
ОтветитьУдалить"Молодое поколение", безудержно желающее и способное нормировать и совершенствовать нормативную базу имеет все возможности для этого.
ОтветитьУдалитьАдреса, по которым идет запись в нормировщики известны - Басманная 17 или ул.Кузнецкий мост, дом 22 .
Только я очереди в нормировщики-совершенствщики из "молодого поколения" не видел. Да оно и понятно. Надо будет определяться - или нормировщик-совершенствщик со всякими ограничениями (включая зарплату) или лихоЙ arkonoid без тормозов, который лучше всех знает, что имело право называться ИБ, а что нет.