27 июня 2016 г.

Проект доктрины ИБ РФ - предложения

Ознакомился с проектом доктрины ИБ РФ и, поскольку это возможно, внес свои предложения. По крайней мере сайт сообщил, что "сообщение принято". Итак:

1. Важным считаю выделение в Доктрине ИБ такого существенного интереса РФ, как "ЗАЩИТА ОПЫТА". Данный момент никоим образом не обозначен ни среди угроз, ни среди интересов, ни среди мер, ни среди сил ИБ. Однако, Опыт - это наиболее затратная составляющая в любой сфере.  Более того, украсть опыт можно только одним способом - перетянуть команду специалистов. Опыт НЕ КОПИРУЕТСЯ в привычном смысле. В отсутствие опыта любые проекты стоят гораздо дороже и выполняются дольше, а ИБ - не обеспечивается!!! В связи с этим Доктрина должна обратить на Защиту/Накопление/Сохранение Опыта пристальное внимание.
2. В п.8.в. не приводится такой интерес РФ, как достижение широкого признания в мире отечественной ИТ-индустрии, включающей электронику, аппаратное и программное обеспечение.
3. Среди угроз ИБ не обозначена явно, но являющаяся ключевой угроза, связанная с низкой компетентностью (недостаточно выделенной компетентностью) и отсутствием культуры ИБ. Понятие компетентности не приводится, но оно должно концептуально включать: образование, обучение, навыки и опыт.
4. п.23.перечисление п.1: ИТ должны составлять существенную долю не только ВВП, но и экспорта, обеспечивая диверсификацию экспорта.
5. п.23.перечисление п.3: независимость также должна достигаться путем активного участия в системе международной стандартизации, в которой по объективным показателям РФ сегодня практически не участвует. Угроза состоит в том, что РФ принимает ИТ по итогу, по факту. Ввиду неготовности к новым стандартам это может приводить к невозможности быстрой модернизации.
6. п.6.д. Средства ИБ - отмечен традиционный набор средств, но считаю необходимым выделить "правовые" и "образовательные" средства ИБ, как имеющее существенное отличие от собственно организационных и технических.

P.S. К сожалению интерфейс сайта Совета безопасности не позволяет отправить больше. Пришлось формулировать сжато.

23 июня 2016 г.

Личная эффективность каждого кроется в Числе Данбара - 150

До 150 одновременно поддерживаемых социальных связей может иметь человек - это число выведено в 1990-х британским ученым Робином Данбаром. В ряде исследований оно колеблется от 100 до 230.
Что значат эти 150, если рассматривать их несколько шире и в контексте эффективности управления?
Всё просто: для каждого из нас оно означает физиологическое ограничение на нашу эффективность.

22 июня 2016 г.

Управление по ощущению - ощущению перспективы!



В 2015 году готовили такой доклад на одну из международных научных конференций в области инноваций и межотраслевого взаимодействия. Для нас данный подход имеет значение уже давно и уже прошло лет пять как мы его сформулировали. Но вот некоторым слушателям доклада "управление по ощущению" показалось новинкой и даже вызвало улыбку. Привожу доклад здесь. Язык академический.

Итак, тезисы доклада.

16 мая 2016 г.

Локомотивы клентской базы

Пообщался на днях с одноклассником - он сейчас занимается научными исследованиями в США в области ИТ-стартапов. И вот к какому выводу вновь прихожу.

Возможно ли массовое появление малых инновационных фирм в отсутствие локомотивов? НЕТ. В США локомотивы - корпорации IBM, Microsoft, Cisco, Google, Apple и масса других. В Германии - автоиндустрия. Вокруг них и на их технологической платформе образуются множества фирм. А у нас?

Попробую определить понятие локомотива, чтобы стало ясно.

Локомотив - это тот, кто создает гарантированный и интенсивный рост клиентской базы. Это - ключевая идея, которую я уловил из беседы. Это и есть условие для массового входа инновационных стартапов. И локомотив и стартапы одержимы коммерческим успехом. Локомотив имеет устойчивую долгосрочную стратегию успеха, проверенную временем.

Ясно, что к локомотивам относятся только мощные структуры, в т.ч. государство.
Локомотив должен иметь уже широкую экосистему для продвижения своей платформы, систему образования, партнерства.

Чем крупнее государство, регион, корпорация и чем более оно централизованное в формировании своей политики, тем более мощные локомотивы оно может предложить субъектам предпринимательства.
Чем меньше государство, регион, корпорация и чем более оно децентрализованное, тем меньше эти возможности.

А если речь идет о сообществах, движениях, федерациях, то чаще всего, по-видимому, они не имеют центра силы, а значит и общей потенции к запуску таких локомотивов.

Open Source проекты нельзя отнести к локомотивам. Хотя их поддерживают правительства стран, но это в глобальном масштабе ничего не меняет. Они слишком малы, чтобы соответствовать понятию "локомотив".

Таким образом, вывод один. Если мы хотим, чтобы у нас появилось массовое что-то, то наиболее эффективный путь - создавать локомотивы.

И что интересно, реклама не поможет, если их не будет ;)

Ну а постулаты о том, что "рынок отрегулирует", тоже, как видим далеки от реальности.

В общем-то здесь ответ на вопрос, почему кругом одни продавцы, но никто ничего не производит. Практически ничего.

25 марта 2016 г.

Положение по организации обработки ПДн. Мое

В очередной раз пересматриваю положение по персональным данным. В нём обычно включаю такой раздел: "Организация обработки ПДн". Структура раздела после сегодняшего переформатирования получилась уже такая (версия около 15-й):
  1. Цель организации обработки персональных данных
  2. Политика в отношении обработки персональных данных
  3. Сферы ответственности
  4. Установление и пересмотр требований к обработке персональных данных
  5. Контроль условий обработки ПДн
  6. Организация обработки ПДн в подразделениях
  7. Ограничение и контроль доступа к персональным данным
  8. Ключевые требования к сотрудникам
  9. Основные обязанности, полномочия и ответственность сотрудников
  10. Контроль изменения в статусе и условиях работы сотрудников
  11. Ознакомление и инструктаж сотрудников
  12. Порядок доступа сотрудников в помещения
  13. Согласование документов, определяющих порядок обработки ПДн
  14. Меры по защите информации
Набор и содержание разделов продиктован необходимостью описать то, что нужно делать на управленческом уровне. Такая методичка: чтобы оно не застопорилось, не начавшись.
Конечно, внедрение положений этих тоже может застопориться - это уже вопрос к тому, считаете ли Вы политику бумажкой или всё-таки деятельностью :)

Однако я не видал положений такого содержания... И поскольку из перечисления ничего не понятно, то, как будут доходить руки, в ближайшее время буду выкладывать по одному :)

UPD: 4 страницы этот документ.

8 февраля 2016 г.

Странности надзора


В 2015 году произошли два существенных изменения в надзоре по Персональным данным:

1.       Мораторий на плановые проверки в 2016 – 2018 годах для Малого бизнеса и ИП.
2.       Выведен из под действия ФЗ-294 «контроль и надзор за обработкой персональных данных».

И начались странности!!!

16 сентября 2015 г.

Оценка соответствия. Часть 2. Компетентностная

Согласно принятым в 2013 году нормативным документам ФСТЭК сложилась некоторая система то ли понимания, то ли недопонимания, а что нужно делать, проводя "оценку соответствия ИСПДн в установленной форме".