среда, 13 июля 2011 г.

Роль специалиста при защите информации

Довольно часто меня спрашивают: почему вообще возникает вопрос о наличии какой-то лицензии при защите персональных данных внутри организации?
Опуская вопрос о том, что считать собственными нуждами и что делать когда у нас на руках десяток ЗАО-ООО выполняющих узкоспециальные задачи, попробуем понять зачем нужен профильный специалист по защите информации. 
Начну из далека - 94-ФЗ, а именно электронных аукционов. Совсем недавно ко мне обратилась фирма, которая выиграла аукцион, их полностью устраивали условия контракта и цена, но не смогла подписать контракт из-за технической ошибки и сейчас она (фирма) находится в списке недобросовестных поставщиков, потерянным обеспечением аукциона в электронной форме и непонятными перспективами самого контракта. Реализация рисков, как говорится, на лицо.
После недолгих переговоров по телефону я понял, что произошла тривиальная вещь - ушел в отпуск обученный специалист по аукционам в электронной форме. Девушка отработала все шаги включая саму процедуру торгов и поле этого передала процесс назначенному заместителю, который в 94-ФЗ разбирается, скажем так, не полностью. Инструкции звучали примерно так: через несколь дней нам пришлют контракт, который надо проверить, подписать электронной подписью и отправить на электронную площадку. Все было вроде бы понятно, только человек ждал письмо на ящик корпоративной электронной почты, а не проверял ящик на площадке. В результате пропустил срок подписания контракта (о котором не знал) и принес убытки фирме и не понятные перспективы специалисту по госзакупкам, т.к. фирме грозит мораторий на госзакупки на 3 года. 
К чему рассказ? Объем знаний связанных с процедурой аукциона в электронной форме укладывается в 4-7 часовой тренинг. Объем нормативной документации касающийся самой процедуры аукциона составляет 22 страницы формата А4, а сам закон – 115. При этом, в отличии от 152-го, нет подзаконных актов, регламентов контролеров, смежного законодательства, вносящего существенные коррективы и прочего, прочего, прочего. Структура рельсовая, сворачивать некуда, каждый этап прописан соответствующей статьей. И в этой, идеальной ситуации, ответственный специалист не справляется с возложенной на него задачей. И Вы хотите, что бы Ваш кадровик, за 5-7 часов осознал бы проблему защиты информации, отрасль ИТ в целом и смог принимать хоть сколько-то обоснованные решения?
Осведомленность в вопросах информационной безопасности подавляющего числа системных администраторов оставляет желать лучшего. До сих пор встречаются представители, которым необходимо доказывать необходимость наличия антивируса на серверах. Я уже не говорю о дискуссиях, о необходимости пускать трафик закрытых разделов корпоративных порталов по https. Есть не одно весьма печальное исследование о стойкости паролях административных аккаунтов.
Уверен, что требование наличия лицензии на ТЗКИ в современной редакции избыточно, но наличие, как минимум одного специалиста по защите информации необходимо. Или организации надо задуматься об Outsoursing информационной безопасности у лицензиата.

5 комментариев:

  1. Попался мне вчера один "защитничек" ( http://debauchery1990.blogspot.com/2011/07/blog-post.html ) - то ли плакать, то ли смеяться:
    //С 3й попытки установил программный файрвол на старенький компьютер, первый был IP COP, не понравился, со второй попытки вставил Smoothwall Express 3.0, будем ставить его на работе, получится 6 клиентских машин, один файрвол и один бэкап-сервер который я соберу позже, когда научусь делать это в идеале и правильно управлять им - буду ставить в организациях, закон сегодня вступил в силу, теперь необходимо защищать персональные данные.//

    ОтветитьУдалить
  2. А что, у нас где-то выпускают специалистов такого класса?

    Не знаю, что там со специалистами по безопасности, но, как мне кажется, прежде чем брать такого человека на работу, надо проверять знания. А то, если такой человек не знает, что такое электронная подпись, то он скорее специализируется немного в иной области, нежели в безопасности.

    ОтветитьУдалить
  3. 2 Евгений

    Это явно "приходящий Одмин", что является типичной ситуацией в СМБ

    ОтветитьУдалить
  4. Честно, странный какой-то пост: в начале и конце поста идут соответственно вопрос о необходимости лицензии на ТЗКИ и заключение, что она, по мнению автора, избыточна.
    Суть поста, насколько я понял, в том, чтобы показать что вопросами ИБ должен заниматься профессионал, для чего и надо иметь в штате хотя бы одного ИБ-ка.
    Пример с 94-ФЗ тоже как-то не в тему - тут больше вопрос о раздолбайстве девушки и ее руководства, которые не смогли качественно отработать до конца, по причине тому, что кому-то захотелось отдохнуть, а не о том, что у компании не было обученного спеца - был, да только в отпуск ушел.
    С ИБ может быть тоже самое, и никакая лицензия тут не поможет.

    ОтветитьУдалить
  5. Именно поэтому ФСТЭК требует у лецинзиата двух спецов. А раздолбайство везде есть.

    ОтветитьУдалить