среда, 30 июня 2010 г.

Инновации по-китайски 2: история с продолжением


Сегодня, выступая на международном форуме "Технологии в машиностроении - 2010", премьер-министр РФ сделал заявление о том, что Россия не будет незаконно копировать получаемые иностранные передовые технологии. Он сказал буквально следующее: "Утащить с хозяйской кухни вкусненький кусок технологий и затем съесть его под одеялом - нет такого в Российской Федерации", - и позже отметил, что "в некоторых странах попытки копировать есть".

Премьер-министр заявил, что "в России охрана результатов интеллектуальной деятельность хорошо отлажена". Кроме того, задал вопрос участникам форума: "В ходе трансферта технологий разве есть пострадавшие? Покажите мне - у кого что-то украли".

Про передачу инновационных технологий России, премьер сказал, что "это странная формулировка", а именно: "Никто никому просто так в мире, в котором мы живем, не передает. Разве что кроме гуманитарной помощи. Все продается. Современные технологии - это товар... Его цена, должна определяться в ходе переговоров...".

Это, безусловно, ответ мировому сообществу в общем и Германии в частности на недавние выпады, обсуждавшиеся мной ранее. Видимо, не у одного меня закрались бредовые подозрения в отношении стратегии развития инноваций в России, и видимо, на них что-то надо было отвечать. Что ж, позволю себе прокомментировать выступление.

На самом деле, "хозяйские куски" в Российской Федерации тащат во всех отраслях - особо это проявляется в государственной сфере, где хозяева - это граждане РФ, а "таскатели" - чиновники-коррупционеры. Пока в отношении коммерческих технологий этого нет - просто негде и некому реализовать "утащенное", а нет спроса - нет и предложения. Про то, украли ли у кого что-то или нет - вряд ли у отечественных машиностроителей есть что воровать. Так что показать было действительно нечего. Ну и наконец, про цену, определяемую в ходе переговоров: кому, как не бывшему разведчику знать, что переговоры переговорам - рознь...

Так что я с премьер-министром во всем согласен. И особенно с тем, что ВСЕ продается.

понедельник, 28 июня 2010 г.

Шексна-2010: итоги конференции


Завершилась очередная конференция по вопросам обеспечения безопасности персональных данных в органах государственной власти, местного самоуправления, муниципальных и коммерческих организациях, по уже сложившейся традиции проводимая Череповецким государственным университетом и Правительством Вологодской области. На этот раз местом проведения стал город Шексна Вологодской области.

Сразу отмечу, что я очень давно не был в Шексне (в основном - проездом по пути в областную столицу), и город (точнее - поселок городского типа) меня приятно удивил. Хорошие дороги, красивые дома, торгово-развлекательные центры, кругом чистота и порядок: во время поездки впечатления создались самые позитивные - и такой же позитивный настрой был на конференцию (и, соответственно, на выступление). Так держать, Шексна!

По традиции, на конференции присутствовали все те же люди (оно и хорошо): начальник отдела по защите прав субъектов ПДн управления Роскомнадзора по Вологодской области М.Н.Васильев, представители ЧГУ В.В.Плашенков, А.А.Кузьмин и А.Н.Зуев, сотрудники аппарата Правительства ВО и руководители местной администрации. Собственно с докладами помимо меня выступали трое: Роскомнадзор и ЧГУ (2 доклада). Материалы докладов размещены здесь, я же остановлюсь на трех важных положительных моментах, не отметить которые я просто не мог.


Первым, и самым важным фактом, отмеченным мной во время доклада Максима Николаевича Васильева (Роскомнадзор), является профессиональный рост Роскомнадзора в области организации защиты информации в общем и персональных данных в частности. Грамотная, продуманная презентация, "живой" доклад, яркие примеры типичных и новых нарушений, тренд "системного подхода" (как сказал сидевший по соседству А.А.Кузьмин - "твой хлеб кушают" - но это же хорошо - для того хлебушек и пек) - все это свидетельствует о том, что регуляторы не только воспитывают операторов, но и сами учатся у них. Так что Роскомнадзор порадовал - без малейшей тени "популизма".

Вторым фактом, отмеченным мной во время собственного доклада, является рост уровня квалификационной подготовки аудитории. Если год назад слушатели сидели с выпученными от испуга и удивления глазами и лихорадочно пытались запомнить и записать материал, что приводило к "перегрузу" аудитории и "ступору" после 20 минут выступления, то сейчас, после полутора часов презентации, слушатели были бодры и веселы, задавали адекватные и четкие вопросы и что самое главное - горел огонь в глазах :) Значит, интерес к теме все-же не угас, да и операторы что-то делают, а не сидят на месте.

И напоследок хочется отметить некоторое сближение регулятора и операторов: готовность к диалогу и обоюдное понимание проблем друг друга. При ответе на вопрос слегка раздраженного представителя одного из операторов по поводу сомнительных требований сотрудника Роскомнадзора в отношении необходимости получения согласия субъекта на передачу ПДн третьей стороне (был частный случай, и по его мнению, предусмотрен законодательством РФ) М.Н.Васильев, к общему удовлетворению, сказал: "Коллеги, давайте вести диалог - если вы считаете что наш требования неправомерны, подготовьте четкое обоснование, будем разговаривать и обсуждать".

Самым главным итогом я считаю нашу общую с М.Н.Васильевым мысль, озвученную в конце моего доклада и горячо им поддержанную: четкое знание операторам ПДн законодательной базы поможет избежать многих проблем в общении с регуляторами хотя бы потому, что оператор будет находиться с ними на одном уровне. Чем выше уровень подготовки оператора - тем эффективнее проверка и адекватней ее результаты, потому как регулятор в начале проверки досконально не знает процессов обработки ПДн оператора, а для проведения детального их анализа ограничен во времени. Поэтому, дорогие читатели, ВНИМАТЕЛЬНО изучайте законы и иные нормативные документы, ведите с регуляторами ДИАЛОГ и помогайте им во время проверок. Не стоит "бычить" - в Роскомнадзоре и ФСТЭК работают точно такие же люди как и мы.

З.Ы. В приватной беседе я получил ответ на вопрос по поводу разделения полномочий между ФСТЭК и РКН в отношении актов классификации и модели угроз: не смотря на то, что РКН проверяет все до акта классификации включительно, а модель угроз составляется "до" него, РКН не проверяет модель - этим занимается ФСТЭК. Видимо, ведомства тоже "бодаются" :). Также узнал, что РКН никак не относится к процессам изменения законодательства РФ: дескать, примут - будем работать. Хотел написать здесь о примерах нарушений ПДн, приведенных Роскомнадзором, в банковской сфере, в ЖКХ, у операторов сотовой связи... но не буду - лучше приезжайте на последующие конференции :)

среда, 23 июня 2010 г.

Конференция по защите персональных данных


25 июня в Шексне состоится конференция Правительства Вологодской области и Череповецкого государственного университета "Обеспечение безопасности персональных данных в органах государственной власти, местного самоуправления, муниципальных и коммерческих организациях". Программу конференции можно посмотреть здесь. Автор блога как всегда выступает с докладом :). Презентацию подготовил, привел в соответствие с текущим моментом. В связи с "замученностью" темы, постараюсь как можно больше времени уделить ответам на вопросы слушателей.

вторник, 22 июня 2010 г.

Имидж, репутация и полная конфиденциальность


Эти слова как нельзя более подходят для человека, изображенного на фотографии. Знакомьтесь: мистер Джулс Кролл - Человек-паук, Халк и ненавистник несправедливости. Основатель крупнейшего и авторитетнейшего во всем мире детективного агентства Kroll Incorporated и его бессменный руководитель с 1972 по 2004 год.

Практически все голливудские фильмы шпионской направленности ("Миссия невыполнима", "Борниада" или "Искусство войны") разработаны по шаблону "тайное агентство - сотрудник-диссидент - куча денег - красивая девушка" и завлекают зрителя крутыми и неправдоподобными трюками, диковинными электронными девайсами и неожиданными поворотами сюжета. Смотришь на все это и думаешь: классно, такого быть не может в принципе.

До недавнего времени я не подозревал о существовании детективного агентства Kroll Inc. и не знал, что за громкими делами и скандалами стоит именно эта организация. Прочитав статью в журнале "Коммерсант.Власть" под названием "Дом, который построил Кролл", я немедленно отыскал официальный сайт Kroll Inc. и стал пристально его изучать. Поработал я и с сайтами зарубежных СМИ (например, с The New York Times). И чем больше я узнавал, тем больше сомневался в абсолютной невозможности голливудских "шпионских историй": как говорится, в каждой шутке есть доля шутки, и в случае с Kroll Inc. эта доля, пожалуй, весьма мала.

За последние 30 лет работы агентство Kroll заработало себе имя и репутацию организации, которой можно смело доверить практически любые секреты на любом уровне: от персональных данных физического лица до особо охраняемой государственной тайны. Дела, которые распутывали агенты Kroll Inc. (бывшие сотрудники спецслужб, квалифицированные финансисты, аудиторы и т.д.), были весьма щекотливыми, если не сказать - скандальными, и выходили за рамки одного государства.

В списке кейсов Kroll Inc. содержатся такие успешно решенные агентством международные проблемы, как поиск денег, похищенных бывшим президентом Филлипин Фердинандом Маркусом, диктатором Саддамом Хусейном (Ирак), диктатором Жан-Клодом Дювалье (Гаити), расследование убийства дизайнера Роберто Кавалли, наконец, поиск тайных счетов КПСС за рубежом! История Kroll говорит о многочисленных успешно решенных дел о коррупции, проведенных работ по повышению безопасности различных объектов до наивысшего уровня и, что самое примечательное - выполнение правительственных заданий по мониторингу действий полиции (!).

После продажи Джулсом Кроллом в 2004 своего бизнеса страховой компании Marsh & McLennan Companies (ММС), дела у Kroll Inc. пошли гораздо хуже (хотя проблемы начинались и при старом хозяине). Многие из операций компании стали неудачными, а иногда и скандальными. Кролл сделал себе имя и репутацию на тщательном соблюдении тайны и на безупречности своих выводов. Скандалы, пусть даже и вызванные действиями других, разумеется, деятельности компании не помогали. А уж случаи, когда работа агентства оказывалась неэффективной или оно делало ошибочные выводы, подтачивали репутацию компании еще больше. Именно поэтому нынешний владелец - MMC - вновь продает Kroll Inc. за гораздо меньшую сумму (1,3 млрд $ против 1,9 млрд $).

Какие уроки можно извлечь из этого? Прежде всего, конечно, то, что любой бизнес основан на воле и энтузиазме его владельца. Однако постоянное нахождение одного человека "у руля" в стремительно меняющемся мире есть весьма рисковый фактор. Современный мир требует постоянных изменений в управлении, а у "старой команды", как правило, глаз "замыливается". От этого и пострадал мистер Кролл: безусловно талантливый организатор, он не был бизнесменом, а определенная доля паранойи, накладываемая спецификой ведения бизнеса, и постоянное расширение штата создавало внутренние неразрешимые противоречия.

Применительно к российским реалиям можно сказать, что такой организации, как Kroll Inc., в России не будет еще очень и очень долгое время. Во-первых потому, что в России крайне не приветствуется детективная деятельность в общем и детективные агентства в частности: вступивший с 1 января 2010 года в силу Федеральный закон N 272-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием государственного контроля в сфере частной охранной и детективной деятельности" создал непреодолимые барьеры для ведения такого рода бизнеса. Куда там до мониторинга действий правоохранительных органов!

Принимая во внимание тот факт, что Kroll Inc. публичная компания, а ее акции торгуются на бирже NASDAQ, являющейся площадкой для высокотехнологичных компаний, можно с твердой уверенностью сказать, что еще более долгое время в России отечественные детективные агентства в частности и консалтинговые компании в общем не будут торговать своими акциями. Основные активы таких компаний - это бренд, имидж и репутация, которые относятся к категории нематериальных со всеми вытекающими...

В заключении отмечу, что на сайте Kroll есть немало качественной и полезной аналитической информации в открытом доступе. Лично я читал с огромным интересом и кое-что планирую использовать в профессиональной деятельности.

среда, 9 июня 2010 г.

Индикатор инноваций, кошмар бухгалтерии и хлеб ИБ-шника


Сегодня довелось видеть чудо - бухгалтерский баланс, в графе "нематериальные активы" которого была цифра, отличная от привычного и свойственного подавляющему большинству балансов "нуля". Еще более удивил тот факт, что баланс этот принадлежал представителю "малого бизнеса", не связанному с высокими технологиями. Я поинтересовался у коллег статистикой - как часто встречаются подобные "чудеса", и выяснил, что за всю многолетнюю историю работы с бухгалтерскими балансами имелось ДВА случая, когда в графе "нематериальные активы" была проставлена некая положительная сумма. Что такое нематериальные активы (НМА), почему они важны для инновационной экономики и почему в России такая плачевная ситуация с этими активами - об этом пойдет речь.

Понять, что такое НМА, очень просто. Если вы автомобилист - откройте багажник, достаньте оттуда синий баллончик с красной трубочкой и желтыми буквами WD-40, переверните и поглядите на состав. Оказывается, знаменитый аэрозоль WD-40 (ласково называемый "вэдэшка") и производимый британской компанией с аналогичным названием, состоит из четырех компонентов: продукт нефтеперегонки, масло, аэрозольный компонент и...внимание: СПЕЦИАЛЬНЫЕ ИНГРЕДИЕНТЫ (НОУ-ХАУ). Что это за "ноу-хау" такое? Официальный сайт компании говорит о том, что это самое "ноу-хау" является одним из важнейших ее достижений, а секретная формула, разработанная еще в 1953 году и использующаяся по сей день, является главным ее АКТИВОМ. В компании работает 150 человек: по российским меркам - это "малый бизнес".

Тем, кто далек от смазочных материалов, рекомендую зайти в магазин, приобрести баночку напитка под названием Кока-Кола, открыть ее и хлебнуть этой вредной, но вкусной жидкости. Выпустив пузырьки газа, вы спросите: при чем здесь НМА? Дело в том, что Кока-Кола разливается во всем мире по бутылкам методом смешения местной воды с покупным концентратом. Концентрат этот производится только на определенных заводах (70% производства приходится на США), а его формула находится в сейфе банка Trust Company of Georgia в Атланте и охраняется не хуже иных военных секретов. Доступ к сейфу имеют лишь топ-менеджеры компании Coca-Cola (точнее - 4 человека), и даже те сотрудники, которые в процессе подготовки концентрата смешивают исходные ингредиенты, знают их только по кодовым номерам. Эта самая формула (именуемая X7) является одним из важнейших НМА компании, потому как если будет раскрыта - империя Coca-Cola рухнет под натиском "клонов". Вторым важнейшим активом The Coca-Cola Company является собственно бренд, иначе - торговая марка Coca-Cola, продаваемая "розливщикам" по франшизе.

Итак, НМА - это "высокотехнологичные", "неденежные" активы, не имеющие физической формы, однако создающие их владельцу конкурентные приемущества, увеличивающие капитализацию и, конечно же, имеющие стоимостную оценку и отражаемые в учете. За рубежом к НМА относят торговые марки, фирменные наименования, программное обеспечение, лицензии и франшизы, авторские права, патенты и другие права на промышленную собственность, на продажу, права на обслуживание и эксплуатацию, рецепты, формулы, проекты и макеты.

Наличие НМА в финансовой отчетности компании - это своего рода показатель ее "высокотехнологичности": чем большую долю в активах занимают НМА - тем больше компания ориентирована на извлечение прибыли из результатов интеллектуальной деятельности. Доля таких компаний в общем числе хозяйствующих субъектов экономики страны является своеобразным "индексом высокотехнологичности" экономики: чем больше, тем, соответственно, высокотехнологичнее. Применительно к реалиям государства Российского, когда огромные бюджетные средства тратятся на разработку технологий, этот индикатор говорит и об уровне "коммерциализации" этих технологий. Словом, чудо, а не показатель инновационной экономики!

По оценкам консалтинговой компании Interbrand, соотношение материальных и нематериальных активов составляет: в компании British Petroleum – 30:70 (НМА - это разведанные запасы нефти); в компании IBM – 17:83 (НМА - это технологии); в компании Coca-Cola – 4:96 (та самая формула, бренд и франшиза).

В структуре корпораций США в начале 80-х годов 20 века более 60% имущества было представлено материальными активами. Соответственно, на долю нематериальных активов приходилось не более 40%. К концу 20 века за счет увеличения удельного веса нематериальных активов соотношение составило 30:70%. Не отстают от этих показателей страны юго-восточной Азии, Китай, Индия, Бразилия. А что же в России?

По статистике, 99% нематериальных активов не отражается в учете и финансовой отчетности российских компаний: лишь права на товарный знак, знак обслуживания, наименование места происхождения товаров отражаются в балансе, да и то на 80%. Анализ теории и практики признания, оценки, защиты, переоценки нематериальных активов в России, сравнение с зарубежными подходами и тенденциями в этой области выявляет массу проблем, связанных с использованием НМА: это и отсутствие практики оценки НМА (как правило, используется методика оценки интеллектуальной собственности, далеко не всегда применимая), и нагромождение законов и подзаконных актов (свыше 30), и отсутствие возможности амортизации, и разные подходы к оценке и управлению НМА, и несоответствие российских методов оценки международным стандартам (например, в отечественных правовых регламентах отсутствует понятие "бренда"), и, наконец, самое главное - хлипкая правовая база, практически не обеспечивающая защиту обладателя НМА от посягательств на объекты интеллектуальной собственности.

Все эти недостатки превращают НМА в настоящий "кошмар бухгалтерии", и в результате в практической действительности складывается ситуация, когда нематериальные активы проще не идентифицировать: это экономичнее с точки зрения денежных расходов и трудозатрат.

Сколько бы в России не строилось наукоградов, сколько бы нам не говорили о том, что Россия великая держава с мощным научным потенциалом, какую бы статистику по патентам нам не показывали, ясно одно: мы будем высокотехнологичной страной только тогда, когда, взяв в руки бухгалтерский баланс компании, изготавливающей сверхпрочные резиновые шланги, и увидев там "ноль" в графе "нематериальные активы", налоговый инспектор спросит: здесь, наверное, какая-то ошибка?

И вот тогда наступит светлое будущее для специалистов по информационной безопасности: не придется доказывать необходимость своего существования, не нужно будет со слезами на глазах убеждать финансового директора выделить деньги на обновление антивируса или приобретение IPS, не придется разрабатывать "левые" KPI и "впаривать" их HR-службе. Все без исключения будут понимать важность и нужность ИБ, и получить сертификат ISO 27001 будет необходимостью для ведения бизнеса. Все будет просто и понятно: есть секреты, они четко определены и оценены, ущерб - известен до копейки, защищайте, товарищ ИБшник! Денег - берите, но имейте совесть - не больше, чем установленный Вам процент от стоимости защищаемой информации.

Пока же, к сожалению, подавляющему большинству ИБ-специалистов приходится жить по "остаточному принципу" и обосновывать необходимость затрат на поддержание и развитие ИБ-инфраструктуры "заднепроходными" (да простят меня коллеги) методами "оценки потенциального ущерба", "оценки упущенной выгоды", "оценки финансовых потерь от нецелевого и неоптимального использования рабочего времени", "оценки штрафных санкций контрольно-надзорных органов" и т.д. Ничего другого больше не остается. Но мы все же не впадаем в уныние, не так ли, друзья? Поэтому, предлагаю тост: за светлое, высокотехнологичное будущее, Россия!

вторник, 8 июня 2010 г.

Диагноз: отсутствие автоматизации


Как часто вы ходите в поликлинику? Как часто обращаетесь к терапевтам и специалистам? Раз в год? Два? Вполне возможно - гораздо чаще, только вы об этом даже не догадываетесь. Один знакомый, директор небольшой компании, рассказывал недавно о том, как в одной из поликлиник внедрялась система "электронной очереди". Оборудование поставили, ПО наладили, сотрудников обучили, консультантов у автоматов посадили, все - тестовый запуск.

Через месяц "обкатки" набралась некоторая статистика, и вдруг обнаружилось, что количество приемов тестового периода на 20% ниже среднемесячного значения за прошлый год. Поработали еще месяц: разница минус 15%. Стали, понятное дело, грешить на автоматику - дескать, не все умеют пользоваться - боятся "инноваций", неверный подсчет и все такое прочее. Однако, как выяснилось, дело было совсем в другом. До внедрения системы была распространена практика "рисованных приемов": в конце дня один-два пациента дорисовывались врачем самостоятельно, с отметкой в карточке и проводкой по всем необходимым бланкам! Номера полисов обязательного медицинского страхования известны, карточки - в наличии, стало быть - ничто не мешает... вообще обходиться без пациентов: приемов будет столько, сколько нужно!

Порывшись на форумах, можно обнаружить огромное количество вопиющих случаев на тему "рисования" приемов. Как же бороться с этим безобразием? Первое, и самое главное - при перечислении средств из фонда ОМС учитывать оценку качества работы врача самим пациентом: например, разработать для этого бланк строгой отчетности и предлагать пациенту заполнять его по окончании лечения (а не приема). Ну и второй, немаловажный, фактор - автоматизация процессов обслуживания пациентов: начиная от записи на прием и заканчивая подготовкой рецепта.

Противники скажут: на автоматизацию нужны огромные деньги - и как же защита персональных данных? Да, это так, и это задача максимум, но это не значит, что этого делать не нужно. Второй аргумент критиков - оценка врача пациентом является крайне субъективной. И это правда. Однако в чем субъективизм? Если пациент пришел к врачу, ему не хамят, не давят на то что у него все плохо и "здесь мы не сможем все обсудить, а вот вызовите меня на дом там все и обсудим", не навязывают дорогостоящих лекарств и лечение в сторонних платных медицинских центрах, не предлагают БАДов, а просто занимаются своим делом - понятное дело, что пациент будет удовлетворен. Конечно, встречаются те, кто никогда и ничем не бывает доволен в принципе - однако и на этот случай можно разработать систему относительных оценок. Этим все равно нужно заниматься, это ДОЛЖНО БЫТЬ внедрено. В любой мало-мальски уважающей себя компании существует система оценки удовлетворенности клиентов, и она весьма существенным образом влияет на зарплату сотрудников, работающих с клиентами.

Но что-то я размечтался. О чем речь? Да, персональные данные. Этот случай - хороший пример тому, как осуществляются мошеннические действия с персональными данными граждан РФ лицами, имеющими доступ к этим данным на совершенно легитимной основе. Ну а в целом про здравоохранение - на сайте Минздравсоцразвития вынесен на общественное (!) обсуждение экспертов проект Закона о медицинском страховании. Новшеств в этом документе много, однако их способность изменить существующую ситуацию в здравоохранении вызывает у меня серьезные сомнения.

Будьте здоровы, дорогие читатели, не болейте!

понедельник, 7 июня 2010 г.

Инновации по-китайски: зачем России Сколково

Как один из постоянных читателей блога Евгения Царева, я частенько оставляю там комментарии по поводу тем и статей, размещаемых автором. Развернутая недавно тема "Инновации по-русски", безусловно, является очень интересной, хотя на первый взгляд выходит за рамки защиты информации (некоторые читатели даже обвинили нас в "политиканстве"). А вот на второй, более пристальный, взгляд, очень даже в нее вписывается...

Сколько бы не критиковали проект инновационного центра в Сколково - он НУЖЕН и ОЧЕНЬ ВАЖЕН для России - я знаю это точно. "Кризисное" увлечение трудами Дэвида Айка и Николая Старикова, а также мыслями Степана Демуры (респект, где Вы? :) ) и автора сайта financialcrisis2009.ru (похоже, канувшего в лету, но ссылки на него до сих пор имеются), не смотря на наличие в них определенной доли мягко говоря "ереси" (все этим страдаем), открыли для меня одно весьма простое и крайне увлекательное занятие: сопоставление и анализ общеизвестных фактов. Все перечисленные уважаемые люди, оперируя фактами, изложенными в совершенно открытом доступе, сопоставляя их между собой и дорисовывая благодаря собственным знаниям "скрытые" ниточки, делали выводы относительно прошлого, настоящего и будущего мировой экономики, и еще в начале 2008 года рассказывали о своем видении развития кризиса. Как показала дальнейшая история, вероятность реализации этих выводов составила порядка 80% - согласитесь, это много. А что, если последовать их примеру и проделать то же самое для инновационного центра Сколково?

Начнем с фактов. Итак, архив RBCDaily от 01.06.2010 г., статья под названием "Немцы боятся шпионов из России.
Хуже них только китайцы, пишет Handelsblatt".

"Российская Служба внешней разведки обратилась ни много ни мало к самому премьер-министру Владимиру Путину с предложением усилить работу по добыванию западных инноваций: «Успешное развитие нашей экономики и усиление ее позиций за рубежом придают работе спецслужб новый смысл. Здесь находится ключ к дальнейшему подъему нашей экономики».

В деле промышленного шпионажа превосходят русских только китайцы, которые охоту за новейшими идеями включили в правительственную программу. Власти Поднебесной поставили перед своими спецслужбами амбициозную задачу: к 2020 году обеспечить Китаю выход на уровень технологий Запада."


Конечно, китайцы воруют технологии не по-детски. Все их мало-мальски высокотехнологичные разработки содержат технологии, защищенные международными патентами и авторским правом. При этом, наличием соответствующих лицензий, равно как и других законных оснований китайцы, естественно, похвастаться не могут. Воруют они открыто и никого не стесняясь. Вот, например, другая статья RBC под названием "Китай скопировал еще один российский истребитель - Су-33".

"Китай завершил создание первого прототипа палубного истребителя, сообщает "Голос России". Китайским инженерам удалось решить проблему, связанную с технологией функционирования складывающегося крыла палубных истребителей. Однако пока не ясно, совершил ли новый самолет первый испытательный полет. Китайский самолет, получивший название J-15 ("Цзянь-15"), является копией российского Су-33. Аналог "Сухого" создан на основе одного из его первых прототипов - опытного самолета Т10К советских времен, который Китай получил в свое время от Украины. Ранее Пекин пытался закупить у РФ два самолета Су-33 для оценки летно-технических характеристик модели, однако Москва отказалась продавать истребители, опасаясь утечки технологии, как это уже было с самолетом J-11."

Как говорится, не мытьем, так катаньем. Китай, не смотря ни на что, успешно ворует и пользуется чужими технологиями. Почему бы РФ не последовать примеру? Ответ: нельзя - мы же цивилизованная демократическая страна, глубоко интегрированная в Европу своей сырьевой экономикой, и в случае подобного поведения у РФ могут возникнуть серьезнейшие неприятности - вплоть до экономической блокады.

Решение, предложенное Президентом РФ в рамках реализации курса на модернизацию и инновации, изложенного в статье "Россия, Вперед!" - строить инновационный центр. Однако, по общему мнению, проблем это не решит - в связи с огромной коррупционной составляющей стоимость разработки и коммерциализации отечественных технологий будет в разы выше, чем аналогичных импортных (да и сами владельцы технологий продавать их России желанием не горят - достаточно вспомнить историю с покупкой Opel). Где логика?

В экономическом еженедельнике "Коммерсант-Деньги" корреспондент Алексей Боярский в статье "Тоталитарная частица" интервьюирует уважаемых собеседников по поводу будущего наукограда в Сколково и существующих наукоградов РФ, те же, в свою очередь, приводят доводы о малой площади будущего центра, об исторически сложившихся связях между наукоградами, разрушать которые нельзя, и совсем смелый довод о том, что "созданные еще в советские времена наукограды по сей день успешно справляются с задачей развития науки и технологий", и дружно недоумевают: почему Сколково?

Ответ на два эти вопроса кроется в одном из принципов оперативно-розыскной деятельности: информация должна быть легализована (что это означает - знает любой сотрудник службы безопасности, тем же, кто не знает - советую википедию). Применив этот принцип к РФ и западным технологиям, имеем следующее: если государство получит доступ к информации, охраняемой авторским правом, перед использованием в РФ она должна быть легализована. Существует два пути легализации технологий: приобрести или ... выдать за свои.

Имея эту "связующую нить" на руках, картинка получается хоть и диковатая, но вполне отчетливая. Служба внешней разведки, возглавляемая бывшим премьером (та, которая готовила обращение - смотрите выше) занимается добыванием технологий, легализация технологий осуществляется через "Инновационный центр Сколково", а финансирование этих операций (весьма дорогостоящих, но дешевле стоимости технологий) осуществляется под управлением талантливого менеджера г-на Вексельберга (конечно, по большей части за счет бюджетных вливаний).

Что осталось? Ах, да - построить собственно "Инновационный центр Сколково". И сделать это нужно с размахом, за очень большие деньги (но не настолько большие чтобы срок окупаемости проекта составлял немыслимые цифры - считать-то все же умеют), да так, чтобы у мировой общественности и сомнений ни в чем не возникло. Вот и ответ вопрошающим на то, почему такая маленькая площадь Сколково - а куда больше? Да и близость от Москвы понятна - конечно, легче контролировать.

Критики мягко скажут - это "ересь". Да, конечно, обострение паранойи. И наверное, в Сколково все же будут разрабатываться НАШИ технологии. Поэтому - вперед, Россия, к модернизированной и инновационной экономике! А тем, кто будет бухтеть, как говорилось в одном знаменитом фильме, "отключим газ".

пятница, 4 июня 2010 г.

Оценка рисков и защита персональных данных

При подготовке материала для очередной публикации наткнулся на интересный документ, о существовании которого ранее не знал, но подозревал, что где-то и кем-то он должен разрабатываться. И вот - наконец - могу поделиться своей радостью, связанной с его обнаружением. Однако, обо всем по порядку.

Речь идет, конечно, о защите персональных данных, точнее, о том подходе, который используется сейчас в законодательстве РФ для реализации защитных мер. По сути, все требования, применяемые к защите ИСПДн, являются жестко регламентирующими, не используют общепринятого в ИБ подхода, связанного с оценкой рисков нарушения конфиденциальности, целостности доступности персональных данных при их обработке оператором, и не зависят от возможного ущерба субъектам ПДн, связанном с реализацией этих рисков. Справедливости ради, стоит отметить, что этот недостаток свойственен не только законодательству РФ, но и другим странам, и в частности - стандарту BS 10012:2009 "Защита Данных - Спецификация системы управления персональными данными", на который многие специалисты возлагали определенные надежды.

Недостаток этот имеет место прежде всего потому, что отсутствует общепринятая методология такого рода оценки. И вот, наконец, начали появляться "первые ласточки". На сайте Information Comissioners Office, уполномоченного органа по защите прав физических лиц Великобритании (аналог Роскомнадзора в этой сфере) имеется вполне адекватный и проработанный документ, именуемый Справочник по оценке воздействия на частную жизнь (Privacy Impact Assessment Handbook) - уже вторая (!) его версия.

Назначение этого документа - отойти от принципа "требования безопасности ПДн для всех едины" и трансформировать его в принцип "всесторонней оценки безопасности". Первая часть документа (главы 1 и 2) содержат вводную информацию о процессе оценки рисков, связанных с воздействием на частную жизнь физического лица через его персональные данные (Privacy Impact Assessment Process - PIA). Вторая часть представляет собой пошаговое руководство (How To) о том, как проводить процесс PIA. Авторы документа обращают особое внимание на то, что некоторые требования PIA могут расходиться с методологией оценки рисков в конкретной организации, и поэтому справочник должен использоваться как элемент комплексного процесса оценки рисков в рамках единой политики ИБ.

Статус этого документа - рекомендательный, однако сам документ очень интересный и безусловно заслуживает отдельного детального рассмотрения. На мой взгляд, самым знаковым в этом документе является то, что разрабатывает его не кто-нибудь, а ICO - уполномоченный орган по защите прав субъектов ПДн Соединенного Королевства! Я полагаю, нашему Роскомнадзору стоит взять этот подход на вооружение и разработать, наконец, то, чего все так долго и с нетерпением ждут. Тем более, что наработки их коллег уже имеются.

вторник, 1 июня 2010 г.

Статья в журнале "Директор по безопасности"

В апрельском номере журнала Директор по безопасности опубликована моя статья "Практический подход к построению системы защиты персональных данных в организации". В ней я постарался обобщить все свои предыдущие презентации и выступления на тему защиты персональных данных. Основная "фишка" публикации - рассмотрение проблемы защиты персональных данных с точки зрения процессного подхода, применяемого в стандарте ISO 27001.



"Ситуацию с защитой персональных данных в РФ можно охарактеризовать как далекую от идеала - достаточно вспомнить сотни предложений о приобретении баз данных сотовых операторов, ГИБДД, налоговой службы и многое, многое другое. Многочисленные сообщения о краже баз данных, содержащих данные кредитных карт, номеров социального страхования и прочей информации уже никого не удивляют. Все это говорит о том, что на эти сведения есть огромный спрос со стороны других мошенников, а стало быть – будет и предложение.
Конечно, государство не может остаться безучастным, учитывая огромные масштабы посягательств на конституционные права и свободы своих граждан – права на личную и семейную тайну. Именно поэтому персональные данные граждан РФ отнесены к конфиденциальной информации, а в 2006 году был принят федеральный закон 152-ФЗ «О персональных данных», основной задачей которого является защита прав и интересов персональных данных физических лиц.
В соответствие с законом, к персональным данным отнесены фактически любые сведения о гражданине, который считается субъектом персональных данных. Все организации, так или иначе имеющие дело с персональными данными субъектов, являются операторами, и обязаны принимать организационные, а в случае обработки персональных данных в автоматизированных системах - и технические меры по их защите.
Вступление в силу 30 декабря 2009 года федерального закона 363-ФЗ, вносящего поправки в 19 и 25 статьи закона «О персональных данных», воспринято большинством руководителей и специалистов однозначно - закон перенесен на один год. Именно такую формулировку приходится слышать на семинарах и конференциях, видеть в публикациях средств массовой информации.
На самом деле, закон «О персональных данных» действует с 2006 года и до настоящего времени. Перенесен лишь срок приведения в соответствие с требованиями закона автоматизированных информационных систем, обрабатывающих персональные данные граждан. Все остальные требования закона – получение согласия субъекта на обработку персональных данных и передачу их третьим лицам, защита от несанкционированного доступа, о правах субъекта и обязанностях оператора действуют в неизменном виде уже три года.
При этом все без исключения операторы увлечены активным обсуждением часто меняющихся требований по реализации технической защиты информационных систем, и мало кто обращает внимание на первую – и самую главную – часть системы защиты – организационные мероприятия. О них и пойдет речь в данной статье..."

Полная версия статьи размещена здесь.