Так сложилось, что мне в последнее время довелось и доводится участвовать в работе над проектами различных нормативных актов по информационной безопасности:
Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.
ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.
- документы ФСТЭК по персональным данным, государственным информационным системам и т.д.
- документы ПК1 ТК122 по стандартизации финансовой безопасности
- Стратегия кибербезопасности Российской Федерации
- проекты РАЭК
- проекты Роскомнадзора
- проекты НП НП
- документы Банка России
- и т.п.
- У проекта должен быть четкий владелец, который должен обладать всей полнотой власти и принятия решения о включении или невключении в нормативный акт предложений участников. Как не парадоксально, но у одного из описанных выше проектов это требование не выполняется - инициаторы заявили, что они только модерируют процесс и собирают разные мнения, вставляемые в разрабатываемый документ. В итоге сейчас получается винегрет, т.к. у участников процесса разное видение и самой темы, описываемый в проекте нормативного акта, и результата всей работы.
- У проекта должна быть заранее определенная цель, понятная всем участникам. Чтобы не было ситуации, когда цель меняется по ходу или ее вообще нет, а инициаторы проекта решили либо просто попиариться, либо не до конца сами понимают во что ввязываются.
- Все участники проекта должны использовать единую терминологию, чтобы не тратить время на обсуждение сути терминов "кибербезопасность", "информационная безопасность", "защита информации", "платежная система", "международная платежная система", "машинный носитель персональных данных" и т.п. Решить эту задачу можно либо использованием заранее созданного глоссария или предварительным созданием такого глоссария. Он полезег и работа по созданию глоссария точно впустую не пропадет.
- Определите Scope. Это классика управления проектами, но и про нее тоже часто забывают, затевая разработку документа с неочерченными границами. Например, стратегия кибербезопасности. Что входит в это понятие? Военно-политические угрозы? Террористические? Или только криминальные? Или планируемый в ПК1 ТК122 документ по лучшим практикам в области защиты информации при осуществлении денежных переводов. Очевидно, что форм безналичных расчетов в рамках НПС существует масса - платежные поручения, инкассо, чеки, электронные денежные переводы и т.п. И форм электронных средств платежа тоже немало. Я не говорю про то, что даже в самом Банке России (и его территориальных учреждениях) до конца не определились, что же такое электронное средство платежа. Кто-то к ним относит ДБО, кто-то нет. Кто-то относит к электронным переводам Western Union, а кто-то нет.
- Не пользуйтесь Почтой России для коммуникаций с участниками. Аккурат недавно со мной произошел такой случае. 6 февраля (!) Минюст выслал мне приглашение поучаствовать в мониторинге правоприменительной практики по ФЗ-152. Получил я это приглашение 1-го апреля - вот такая шутка от стратегического объекта для России под названием "Почта России".
- Всегда отвечайте! Отвечать "ваши предложения получены" - это правило хорошего тона при переписке. Все-таки e-mail, часто используемая для связи участников проекта, - это канал негарантированной доставки сообщений, а СЭД или онлайн-порталы совместной работы (например, Битрикс24 или Мегаплан из отечественных) мало где применяется. Еще лучше, когда на каждое присланное предложение поступает ответ - принято или нет. Если нет, то почему. Гдавное подойти к этому не формально. А то помню я, как ФСБ отвечало на многие предложения по внесению изменений в проект ПП-1119, - "считаем нецелесообразным".
- Не забывайте про регуляторов! Да, так тоже бывает. Далеко не все проекты нормативных актов или концепций/стратегий готовятся по инициативе ФСТЭК или ФСБ (как минимум). Но они тоже игроки на поле отечественной ИБ и если про них забыли (случайно или намеренно), то они могут и обидеться. А это значит, что документ не пустят дальше и зарубять его на корню (даже если идея документа здравая и могла бы быть поддержана регуляторами). Таких примеров тоже полно. Проект Постановления Правительства по надзору в сфере ПДн, методичка ДИСа по защите ДБО, стратегия кибербезопасности и т.п.
- Не раздувайте штат экспертов. В психологии есть правило "7 плюс-минус 2". Именно столько экспертов должно быть в группе по разработке или экспертизе документов. Принимать предложения можно от кого угодно (наверное) и для этого даже есть идеи в некоторых проектах запускать целые краудсорсинговые платформы. Но вот анализировать их и принимать или отсекать (с учетом пункта 6) должна небольшая группа, которая гораздо эффективнее решает многие вопросы, чем скопища на 15-20-40 человек. Это и быстрее и консенсус находится лучше. Если же выслушивать каждого из 30 человек, то на заседания и обсуждения уходят часы вместо минут.
Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.
ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.
Есть у нас в стране такая организация "Аналитический центр при Правительстве Российской Федерации", которая готовит доклады по различным вопросам и был у них доклад http://www.ac.gov.ru/files/21doklad.pdf в котором собственно и поднимается вопрос создания проектных офисов в органах исполнительной власти всех уровней.
ОтветитьУдалитьЕжели рассматривать создание нормативного акта, как проект (что собственно и представлено, особенно словом scope), то осталось только реализовать предложения этого аналитического центра, научить людей в ОИВ делать проекты, а не только заниматься текущей (операционной) деятельностью и все эти ошибки сойдут на нет.
Для примера реализации приведу еще пару ссылок: http://www.dkp31.ru/project и http://admchern.ru/project-management/projects-2012/
Осталось понять что есть функциональный, операционный и проектный подходы, научиться их применять в нужных местах, чтобы наступило счастье в нашей отдельно взятой стране :)
2ZZubra: Чтобы наступило счастье в нашей отдельно взятой стране, надо сначала всех людей поменять. Желательно на новых :)
ОтветитьУдалитьЭэээ нет! С таким подходом вообще браться за работу не надо )))) Люди - данность. Бардак - данность. Это условия задачи. И менять их нельзя. Вот при таких условиях и надо решать задачу.
ОтветитьУдалитьПричитание (решение) "хорошо бы если бы наша новая организация подчинялась лично Президенту РФ и финансировалась как DARPA в США" - фуфло, которое должно сразу сливаться в унитаз ))))
Алексей, а не противоречат ли друг другу 7 и 8 пункт?
ОтветитьУдалитьЕсли взять трех а то и четырех регуляторов + одного двух организаторов то для других участников места нет.
Алексей, не боитесь что, если организатор жестко ограничит количество участников, то вы и другие блогеры могут не попасть в их число?
И тогда опять начнутся статьи типа "не учитываются мнения экспертного сообщества", "не учитываются интересы бизнеса" и т.п.
И ещё есть такой острый пункт на счет экспертов, которые готовы регулярно заниматься работой на общественных началах:
ОтветитьУдалитьесли размышлять объективно, то это возможно в следующих редких ситуациях
- либо такой эксперт должен быть безработным и не иметь необходимости кормить себя и семью
- либо такой эксперт работает на компанию на пол ставки а в остальное время делает что хочет, при этом зарплаты за пол ставки должно хватать чтобы ни в чем не нуждаться
- либо работодатель специально берет на работу такого эксперта, чтобы оказывать благотворительность в целях повышения общего уровня ИБ в стране или определенной области
когда появляется один-два таких эксперта это можно понять как некое исключение - что действительно произошла эта редкая ситуация.
когда таких экспертов появляется 50 (по 7 экспертов на 7 документов )
то начинаешь задумываться, а всё ли тут чисто? даже если сейчас эксперты работают чисто и безвозмездно, то где гарантия что в дальнейшем не появятся лица лоббирующие чьи-то интересы?
даже если не лоббируют, а просто делают так чтобы компания, в которой они работают, не пострадала.
другие сотни компаний этого сделать не имеют возможности и после выхода документа окажутся в проигрышном положении
Недавно Путин, разговаривая с Рогозиным по поводу ракетной отрасли и обсуждения направлений дальнейшей деятельности, потребовал создавать рабочие группы не более чем по 7 человек. Если вопрос сложнее, то делить его на подвопросы, которые могут решать не более чем 7 человек. Как-то так.
ОтветитьУдалитьПо экспертам. Так и должно быть, чтобы каждый тянул одеялку на себя (бардак+имеющиеся люди). Вот чем больше при равных условиях будет тянущих, тем более устраивающий всех вариант и родится. Это дело заинтересованных в результате лиц выделять ресурсы на такую работу (оплачивать человека). А вот независимые эксперты - это как раз представители "от народа", как "пока" не заинтересованного лица (пример: субъект ПДн VS банки&операторы мобильной связи при создании новой редакции ФЗ152).
ОтветитьУдалитьА задача устроителя (менеджера проекта?) обеспечить равные условия.
ZZubra, так если в рабочей группе 7 человек, то все желающие потянуть одеяло не влезут.
ОтветитьУдалитьНе говоря уже о представителях "от народа"
Просто раньше (например 2 года назад) всё примерно так и было как хочет Алексей.
К примеру ФСТЭК просил одного доверенного лицензиата разработать новую версию документа (четырехкнижье), далее высылал ещё на рецензирование ещё 5-7 хорошо зарекомендовавшим себя лицензиатам. Потом ФСТЭК собирал со всех предложения и собственноручно (с участием первого самого доверенного лицензиата) выпускал итоговую версию документа. При этом все пункты описанные Алексеем Лукацким выполнялись.
Но по некоторым причинам, данный подход был подвергнут резкой общественной критике.
А если разделить тех, кто подает предложения и тех, кто их рассматривает, то все станет на места.
ОтветитьУдалитьВозьмем, к примеру, закон об образовании:
- многие тысячи предложений
- онлайн правка/предложения (в несколько этапов)
- различные группы и комитеты
- профессиональные сообщества
- единый комитет
- совет по рассмотрению предложений в ГД
- депутат, который объясняет почему принято и отклонено каждое дошедшее предложение
- депутаты которые голосуют
Закон готов.
Рабочие группы во всей этой системе небыли большими. Те самые 7+/-2 (только не путайте со сбором предложений в форме семинаров - там один из представителей рабочей группы просто собирает предложения для дальнейшего обсуждения в узком кругу)
Но все держится на организаторе. Он должен быть един. Заинтересован в результате. Не заинтересован в лоббировании.
Сергей, группа из 7 человек должна аккумулировать, обсуждать, принимать и отбрасывать предложения. А самих предложений может быть много.
ОтветитьУдалитьВ группу должны входить эксперты из разных областей - госы, коммерсы, "иностранцы" и т.п.