среда, 30 марта 2011 г.

Выступление на конференции: видео


Выкладываю обещанное видео выступления. Презентация, сопровождавшая доклад, размещена здесь.



Видео других выступлений доступны по этой ссылке.

ЗЫ: иногда меня уносит, иногда поттупливаю, иногда слегка понтуюсь - но все к удовольствию слушателей :)
ЗЫЫ: для тех, у кого есть органичения доступа к ресурсам Интернет: видео размещено ВКонтакте, в публичном доступе, из дома посмотреть точно получится ;)

76 комментариев :

  1. А кто в президиуме сидит? Можешь по фамилиям, должностям и службам слева направо перечислить?

    ОтветитьУдалить
  2. Те кого видно (слева направо):

    1. Петров Владимир Гавриилович, заместитель руководителя управления ФСТЭК по СЗФО.
    2. Пальников Анатолий Алексеевич, руководитель территориального управления Роскомнидзора по Вологодской обл.
    3. Плашенков Валерий Владимирович, директор инженерно-экономического института ЧГУ.
    4. Красильников Алексей Алексеевич, начальник отдела защиты информации правительства Вологодской области.

    ОтветитьУдалить
  3. Так это руководитель ФСТЭК удивлялся 3 милл?

    ОтветитьУдалить
  4. Эт ладно, когда чуйка сработала, что щаз давить начнут, сразу съехали, что государство молодое, давайте строить правовое общество =)

    ОтветитьУдалить
  5. Досмотрел до конца. Отличный доклад!

    ОтветитьУдалить
  6. to St.Bars: это и был единственный аргумент, после которого всем стало ясно, что спрашивать-то и нечего :) Жаль только, что идея "построения правового общества", как в таких случаях бывает всегда, померла в стенах конференц-зала :(

    to Евгений Царев: ну, моя оценка - чапыре, потому пять баллов от тебя получить вдвойне приятно :)

    ОтветитьУдалить
  7. Это просто первое видео где современные проблемы ПДн четко обозначены и всего за 50 мин.

    ОтветитьУдалить
  8. Как представитель ФСТЭК из-за инопланетян то расстроился... ;) А затратами на лицензию Вы его добили. Эх, как бы Вашего лицензиата, который так все доступно объяснил, лицензии не лишили...
    Алексей, по поводу собственной СБ. Поясните, пожалуйста, что за закон был и когда его отменили?

    ОтветитьУдалить
  9. Евгению: я старался :)

    Анне: не лишат - стоимость лицензии это общеизвестный факт, только для ФСТЭК это новость, как выясняется. По поводу собственной СБ - смотрите слайд 16 презентации http://anvolkov.blogspot.com/2011/03/blog-post_22.html

    ОтветитьУдалить
  10. Ок, спасибо. Смотрю :)

    ОтветитьУдалить
  11. Будут вопросы после просмотра - пЕшЫте :)

    ОтветитьУдалить
  12. Анонимный30.3.11

    Алексей, вы прям Навальный в области ПДн ;-). Издалека похожи даже )
    Далее некоторые замечания с целью улучшения и просто впечатления.
    1.>ЗЫ: иногда меня уносит, иногда поттупливаю, иногда слегка понтуюсь

    Есть такое и имхо лишнее. И речь бы почетче.. То есть поменьше эмоции и больше четкости и слов типа Значит,вот.. )

    2.Алексей, простите конечно, но полностью нарушены все существующие правила проведения и подготовки презентаций;-). Особо количество информации на слайдах.
    То есть бОльшую часть того что там написано не прочел НИКТО, сами наверно понимаете.
    Есть интересные материалы по теме презентаций, даже конкретно как делать презы по безопасности.
    Вы пишите;
    >>что касается презентации - я листал слайды как картинки, останавливался исключительно на важных местах, публику сразу попросил не вчитываться а слушать меня - сказал, потом почитаете.

    Ну не делается так вообще-то) Доносите главную мысль и она останется в голове у участников

    3.Все верно, все здорово и даже для себя что-то новое узнал, хотя часть слайдов знакома ;-)
    Но.. какой смысл именно ЭТИМ людям это все рассказывать было? Эти люди не принимают решения, а лишь исполняют их. С такой презой надо было выступать перед головными регуляторами в Москве.

    4.ИМХО нужно было бы сделать более четкий вывод – не нужно технически регулировать эту область! Иначе получаем абсурд – вся презентация пример этого! Все просто – защищай данные как хочешь..как считаешь нужным.
    Есть утечка – штраф или другие наказания (вот это и нужно обсуждать - адекватность наказания).. как во всем мире собственно. Там есть слайд про это , но я б на этом акцентировал. Итоговый вывод такой сделал.

    Tiger

    ОтветитьУдалить
  13. to tiger: спасибо, обожаю критику :)

    > вы прям Навальный в области ПДн

    Вы - шестой за сегодня :)

    > больше четкости и слов типа Значит,вот..

    Нечеткость речи - это недостаток записи и качество микрофона - я и так полулежал на тумбе, хотя у меня командная муштра будь здоров ;) Что касается "значит" и "вот" - стараюсь искоренять, но здесь был крайне неудобный зал - это дизориентировало (я уже писал). Я люблю с микрофоном в руке, около экрана прыгать - тогда никаких "значит" и "вот" практически не бывает - просто не нужны они. Хотя плохому танцору... :)

    > Ну не делается так вообще-то Доносите главную мысль и она останется в голове у участников

    Значит, я первый :) На самом деле, есть разные методики, разные аудитории и разны уровни подготовки. Та аудитория, перед которой выступал я, обладала недостаточным уровнем для восприятия материала по Вашей методе, поэтому мне пришлось потрудиться для того, чтобы вместить огромное количество информации в указанное время (да и то вывалился за хрометраж - опять же валю на зал :). Так что главная мысль осталась, а все остальное - факультатив. Иначе мне пришлось бы отвечать на массу вопросов, подобных тем, что задавала Анна, видевшая ранее презентацию, см. выше, (Анна - не в обиду :).

    > какой смысл именно ЭТИМ людям это все рассказывать было?

    Я рассказывал не регуляторам, а аудитории, хотя и регуляторам кое-что было в новинку. Смысл - снять "зомбирование" с операторов и заставить их подумать, посмотреть на проблему скептически, а не тупо следовать всем требованиям, зачастую высосанным из пальца.

    > Итоговый вывод такой сделал

    Этот вывод разумен, адекватен, но в текущих условиях просто нереализуем. Поэтому я не делал никаких выводов, так как поставил перед собой другую цель (см. выше).

    ОтветитьУдалить
  14. Посмотрела до конца. Наконец-то, Алексей, я увидела Вас так сказать вживую ;-)
    Выступление мне понравилось. Видно, что Вы тщательно готовились. Вставка про "им то можно" улыбнула :)
    Всегда интересно посмотреть на чебя со стороны, правда? Я недавно просматривала свое выступление (8ми часовое) тоже посвященное ЗПДн и очень много сделала полезных выводоов о своей манере выступления.
    Только вот не знаю, будет ли толк? Дойдет ли эта информация до нужных ушей? Хотя лично у меня сложилось впечатление, что Владимир Гавриилович разочаровался в своем работодателе :). Удивление, недоумение и жуткое раздрожение - вот что я заметила на его лице.

    P.S. Алексей, есть такая замечательная книга iПрезентация, в которой расказывается о секретах выступления самого выдающегося оратора современности - Стива Джобса. Если Вы ее еще не читали, то позвольте порекомендовать, думаю это поможет довести выступления до блеска :)

    ОтветитьУдалить
  15. Анне: спасибо огромное :) На самом деле, подготовка заключалась в нескольких прогонах выступления еще до начала подготовки презентации - я вынашивал мысли в голове пару недель, и потом, что называется, "выплюнул" все на бумагу: за 3 дня склепал презентацию, а доклад - это практически экспромт, следование основному, ранее намеченному тренду :) Я по такой же схеме статьи пишу...

    Конечно, выступать перед многочисленной "взрослой" аудиторией, да еще и с "акулами" в президиуме - не одно и то же, что перед студентами умничать или руководством проект-отчет презентовать: тут и "жим-жим" присутствует, и волнение... Потому и "вот-значит" :) Все от опыта зависит, от частоты презентаций. Стиву Джобсу хорошо - у него команда дизайнетрв над видеоматериалом работает, да и опыта трындец сколько. А уж волноваться ему и подавно не о чем :) Но за совет спасибо - обязательно почитаю.

    Ну а что касается Владимира Гаврииловича, то человек этот, безусловно, заслуживает огромного уважения хотя бы просто потому, что он гораздо старше и опытнее всех нас вместе взятых, и при этом совершенно не понторезит (по крайней мере из общения с ним у меня сложилось такое впечатление). Конечно, каждый профи - к месту и ко времени, и не его это вина, что ФСТЭК отстает от реалий жизни. У нас все государство такое. Что до разочарования в работодателе... Человек всю жизнь на государевой службе, потому из своих убеждений твердо стоит на позиции правоты государства. И это далеко не самый ужасный случай. Посмотрите на Чурова (ЦИК). Ему приходится гораздо хуже...

    ОтветитьУдалить
  16. > Ну а что касается Владимира Гаврииловича, то человек этот, безусловно, заслуживает огромного уважения хотя бы просто потому, что он гораздо старше и опытнее всех нас вместе взятых, и при этом совершенно не понторезит (по крайней мере из общения с ним у меня сложилось такое впечатление).

    Я на самом деле не сомневаюсь, что Владимир Гавриилович заслуживает и достоин уважения. Я просто хочу сказать, что он... расстроился что-ли, что так все на самом деле обстоит. Что методики ФСТЭК - не рабочие, что лицензия стоит 3 млн., что сертификация - это сплошное надувательство.
    И это хорошо, что расстроился. Именно поэтому он и достоин уважения, хуже была бы реакция: "А Вы как хотели? Да, мы такие".

    А по поводу Джобса: он волнуется, еще как! На репетиции тратит уйму времени и потому добился совершенства в этом деле.
    Насчет Вашего способа написания статей: у меня примерно по такой же схеме выходит :)

    ОтветитьУдалить
  17. бегло прослушал конференцию, не заметил явных недостатков выступающего, пройдена хорошо. Ролик даже интересный, с юмором и кислым лицом ФСТЭК ))) Вот плохо одно - ссылки на слайды не видно, да и сам президиум шею чуть не свернул, но ничего зарядка шейного раздела не помешает ))

    ОтветитьУдалить
  18. to Анна:

    > И это хорошо, что расстроился.

    Я, честно сказать, очень переживал, чтобы он не расстроился из-за того, что приехал с коллегой, с совершенно добрыми намерениями и хорошим настроением, а тут я такой крендель все взял и вот так вот "опошлил". Ну ничего, вроде, с этим проблем не было ;)

    > На репетиции тратит уйму времени

    А, ну так это совершенно другой уровень. Театр одного актера, можно сказать. У нас тоже есть непревзойденные мастера этого жанра - Гришковец, например :) Мне больше нравится именно экспромт, импровиз. Так, чтобы ночью разбуди - и на конференцию с докладом, и "на отлично" :) Хотя о том, что каждая импровизация хорошо спланирована, мне тоже известно :)

    > у меня примерно по такой же схеме выходит

    Ну значит мы друг друга полностью понимаем, а это здорово :)

    to ЕвгенийКР: спасибо :) По поводу монтажа слайдов - попрошу ребят, что делали видео, может, что и сделают.

    ОтветитьУдалить
  19. Анонимный31.3.11

    >Я люблю с микрофоном в руке, около экрана

    Алексей, вот кстати так и надо было сделать! Микрофон там был. Нужно было уйти с трибунки, взять микрофон и РАЗВЕРНУТЬ их всех к экрану. Это я в смысле про большую эффективность презентации. Вот нафига презентация если некоторые из них и развернулись то к ней пару раз?!

    > Та аудитория, перед которой выступал я, обладала недостаточным уровнем для восприятия материала по Вашей методе, поэтому мне пришлось потрудиться для того, чтобы вместить огромное количество информации в указанное время

    Алексей, дык бОльшая часть информации не вместилась в их головы, поверьте ). Я просто советую, а вы уж сами решайте – очень хорошо это дело описано в блоге Д.Орлова тут
    http://dorlov.blogspot.com/2010/03/ciso-1.html
    http://dorlov.blogspot.com/2011/03/ciso-2.html

    > Смысл - снять "зомбирование" с операторов и заставить их подумать, посмотреть на проблему скептически, а не тупо следовать всем требованиям, зачастую высосанным из пальца.

    Это я недооценил проблему, я считал что это как бы давно ясно.. )

    >Этот вывод разумен, адекватен, но в текущих условиях просто нереализуем.

    А почему? Если в поправках Резника есть пункт про распространение требований только на госучреждения и муниципальные учреждения - это как раз про это.
    ЗЫ. Самый зачетный был дядка пострадавший от получения лицензий)! Вам с ним вместе по городам нужно ездить и выступать )). Особенно, если ваша цель заставить операторов думать

    Tiger

    ОтветитьУдалить
  20. >Я на самом деле не сомневаюсь, что Владимир Гавриилович заслуживает и достоин уважения.

    Имхо одно то, что эти люди стали стремиться быть "поближе к народу" и реальным проблемам - это большой успех

    ОтветитьУдалить
  21. to tiger:

    > вот кстати так и надо было сделать!

    Увы, нельзя. Экрана как такового не было, демонстрация происходила на стене, месторасположение - в верхнем левом ее углу (под потолком) - гляньте, куда смотрит президиум :)

    > дык бОльшая часть информации не вместилась в их головы, поверьте

    Не поверю, так как после презентации ко мне подходило очень много людей с вопросами и просто со "спасибо". Ну а те кто что-то не понял сразу, почитали презу потом и писали на почту. Это ли не лучшее признание? :) И потом - это ведь далеко не первая и, надеюсь, не последняя презентация - опыт-то какой-никакой имеется ;)

    > в поправках Резника есть пункт

    Я уже видел много поправок к поправкам поправок, потому будущее весьма и весьма туманно. Делать выводы очень рано.

    ОтветитьУдалить
  22. to tiger:

    > эти люди стали стремиться быть "поближе к народу" и реальным проблемам - это большой успех

    Вот это в точку.

    > Вам с ним вместе по городам нужно ездить и выступать

    Интересная тема, рассмотрим :))

    ЗЫ: ну а по поводу презентации - "на вкус и цвет..." Как не старайся - все равно найдутся недовольные. Но если критика конструктивна - всегда нужно слушать и наматывать себе на ус. Недовольных меньше не станет, а вот довольные станут еще довольней :)

    ОтветитьУдалить
  23. Анонимный31.3.11

    >Не поверю, так как после презентации ко мне подходило очень много людей с вопросами и просто со "спасибо". Ну а те кто что-то не понял сразу, почитали презу потом и писали на почту. Это ли не лучшее признание?

    Так это потому, что качество материала хорошее, слов которые говорились, фактов.. Тема как бы актуальная. Потому информация об этом важна независимо от качества презы.
    А что говорит про и за качество презентации?
    Информация в таком количестве на слайд и таким мелким шрифтом не воспринимается имхо.

    >Я уже видел много поправок к поправкам поправок, потому будущее весьма и весьма туманно. Делать выводы очень рано.

    Так я ж не про выводы, а про позицию, которую вы занимаете. Вот если почитать про презентации у того же Орлова в блоге – то увидите, что кульминацией ее должна быть одна (несколько) основных мыслей, которые вы хотите донести.
    У вас же – показали недостатки и противоречия, далее – рассказали, что ожидается и на что не стОит и надеяться, итог – не забывайте, что надо защищать права, а не данные..
    Хм.. хорошо, не забудем )… и где-то подспудно есть еще посыл операторам задуматься и не тратить деньги понапрасну. А можно было бы такой призыв сделать явным, вы же это и хотели сказать – так и скажите! резюмируйте.. А можно было мой лозунг задвинуть – долой техрегулирование из сферы ПДн! )

    ЗЫ Алексей, все что я говорю – только с целью улучшить т.е. чтоб довольные стали еще довольней.. поди уж надоел, но чего то понесло меня сегодня))

    Tiger

    ОтветитьУдалить
  24. > Информация в таком количестве на слайд и таким мелким шрифтом не воспринимается имхо.

    Согласен, если тупо показывать и молчать - то естессно, но я-то на что? :)

    > можно было мой лозунг задвинуть – долой техрегулирование из сферы ПДн!

    Можно. Вы не первый, кто об этом говорит. Но я решил так, как решил. И думаю, что правильно. Потому как свою позицию я излагаю периодически. А на конференции это прозвучало бы как "долой ФСТЭК из зала" ИМХО...

    > поди уж надоел, но чего то понесло меня сегодня

    Да все ОК, без проблем :))

    ОтветитьУдалить
  25. Анонимный31.3.11

    Уважаемый Алексей.
    Все таки 3 миллиона это очень много. Скорее всего ваших лицензиатов развели. Здесь нужно сказать какую технику они приобрели конкретно. Прозвучала цифра 700-800 тысяч за анализатор спектра - за буржуйский да, за наш - можно 2 взять ). Нужны еще антенны - 60 тысяч, генераторы - при желании с консервации на заводах можно взять и т.д. При желании стоимость всего оборудования+ЗП+аттестованная АС будет не более 600 тысяч.
    Согласен, что операторам эта лицензия не нужна. Только не надо людей остальных пугать )

    ОтветитьУдалить
  26. to Анонимный: ну, что я могу сказать... значит, "развод" поставлен на поток, раз всех трех "развели". И не факт, что "людей остальных" не "разведут".

    ОтветитьУдалить
  27. Анонимный31.3.11

    Следующий момент. У вас лицензиаты путают ВП (гостайна) и ЗП (конфи). Для получения линензии на ТЗКИ нужно ЗП и АС, аттестованные на соответствие СТР-К и Временным методикам. А у вас выстыпающие говорят о какой-то лицензии на гостайну, средствах защиты за 350-400 тысяч. Это вызывает нервный смех.

    ОтветитьУдалить
  28. Анонимный31.3.11

    развод" поставлен на поток, раз всех трех "развели". И не факт, что "людей остальных" не "разведут"
    Возможно, только у меня сложилось впечатление, что лицензию получают совершенно левые, не подкованные в этом отношении люди. А таких разводить, что кроликов

    ОтветитьУдалить
  29. > выстыпающие говорят о какой-то лицензии на гостайну

    Речь шла о том, что один из документов на аттестованное помещение - секретный, и для его получения требуется лицензия на ГТ. ФСТЭК, кстати, с этим согласился.

    > лицензию получают совершенно левые, не подкованные в этом отношении люди

    Не подкованные в чем - в ИБ или тонкостях получения лицензии? Уверяю Вас, что в ИБ-ЗИ эти люди очень хорошо подкованы. А "тонкости получения" - это чисто наше, отечественное. В любом другом государстве это происходит совершенно просто и понятно.

    ОтветитьУдалить
  30. Анонимный31.3.11

    Я так понял они аттестовывали помещение как выделенное (для работы с государственной тайной). Документы на такое помещение секретные. Вопрос зачем ониделали ВП, если достаточно ЗП (конфиденциальная информация). И учить 8 человек за 60-80 тысяч. Этак и миллиард можно потратить, а потом говорить, что у нас государство такое. Абсолютно не обоснованные расходы понесли лицензиаты, только в этом они сами виноваты.

    ОтветитьУдалить
  31. По этому поводу ничего не могу пояснить. Знаю только, что они делали все сами - от и до. Потому, возможно, и такая сумма. Вполне возможно, что с привлечением сведущего в этих вопросах интегратора, предлагающего услуги по подготовке к получению лицензии на ТЗКИ, сумма была бы меньше. Но это еще раз подтверждает факт непрозрачной схемы и огромной коррупционной составляющей этого вопроса.

    ОтветитьУдалить
  32. Анонимный31.3.11

    Внимательно нужно читать документы и применять логику. Тогда будет 2-3 специалиста с профильных факультетов ВУЗов, а не 6-8, обученных на ОЧЕНЬ дорогих спец курсах; ЗП за 40 тысяч без средств защиты, а не ВП за огромные деньги. Удивляет просто, что они не разобрались, потратили кучу денег и всем об этом говорят, и убеждают других, что это нормально. А компетенция их вообще вызывает сомнения: раз они не знают, что минимально необходимо для получения лицензии, а они, мне показалось, расчитывали на минимальные затраты, как они будут защищать информацию по этой лицензии? С такими же затратами?
    А выступление Ваше хорошее. )

    ОтветитьУдалить
  33. Спасибо :) Ну а что до остального... Честно скажу - я реально не специалист по лицензированию. Слайд был предназначен для критики прадигмы "тотального лицензирования", а в этом свете даже 600 тыс. для ПБОЮЛ, торгующего детскими игрушками на арендуемых 3 кв.м. и обрабатывающего в 1С ПДн четырех своих продавцов - непосильная ноша.

    ОтветитьУдалить
  34. Анонимный31.3.11

    > Вполне возможно, что с привлечением сведущего в этих вопросах интегратора, предлагающего услуги по подготовке к получению лицензии на ТЗКИ, сумма была бы меньше.

    Обычно, самостоятельно бывает дешевле, только дольше.

    > Но это еще раз подтверждает факт непрозрачной схемы и огромной коррупционной составляющей этого вопроса.

    Это утверждение мне совершенно не понятно.

    ОтветитьУдалить
  35. > Это утверждение мне совершенно не понятно.

    Поясню. Если нет четких, однозначиых и единых требований для всех - то это значит схема закрытая. Можно так, а можно по-другому. А если напрячься и попросить помочь кого-то кто имеет дополнительный experience (а это необязательно знания), то разница может варьироваться в разы. ФСТЭК же сам говорит - проверяются только документы. А вот результат проверки - это дело другое. И раз у одних легко прокатывает за 600 тыс, а у других идет со скрипом за 3 млн, то тут явно что-то не ладно. Особенно принимая во внимание тот факт, что решение принимает исключительно центр, одни и те же люди...

    ОтветитьУдалить
  36. Анонимный31.3.11

    С высоты пройденного пути (получившего лицензию): формально лицензию можно получить затратив впустую 400-600 тысяч (находясь в Москве или Петербурге), но для реальной работы в этом направлении придется понести существенные дополнительные затраты, возможно именно это и имел в виду Владимир Гавриилович говоря, что организации вкладывались в производственную базу для возможности выполнять лицензируемую деятельность, а не в получение лицензии (поэтому цифры у организаций, получавших лицензии совпали).

    ОтветитьУдалить
  37. Ну многие узнали что понаписали... наконец..

    ОтветитьУдалить
  38. а почему наш аноним не откроется ? ))

    ОтветитьУдалить
  39. >>А на конференции это прозвучало бы как "долой ФСТЭК из зала" ИМХО...

    Дык это ж я образно про Долой сказал. ))
    То есть смысл то именно такой, а на словах то формулировать можно и помягче..)
    Зато подумайте, сколько бы слайдов от вашей презентации осталось, если б нам не указывали КАК именно нужно защищать ПДн? Сколько нерешенных вопросов снялось бы?
    Если б такое случилось - это был бы реалный прорыв.

    ОтветитьУдалить
  40. to ЕвгенийКР: ссылка "записи других выступлений" в конце поста ;)

    to tiger-66: напоминаю про цель презентации :) И не было бы нифига. Даже если бы я в Москве выступал, перед регуляторами. :(

    ОтветитьУдалить
  41. Алексей ! Я тебя уверяю в центральном аппарате есть молодые силы всем сердцем болеющие за совершенствование системы. И экспертный совет рано или поздно будет работать...

    ОтветитьУдалить
  42. Анонимный1.4.11

    > а почему наш аноним не откроется ? ))

    Меня Дмитрий зовут. Вам это что-то дало? Блога у меня нет. 8 лет работаю в органах по аттестации (в разных работал).
    Последний пост от Анонимного не мой.
    А про "но для реальной работы в этом направлении придется понести существенные дополнительные затраты" очень странное замечание. Если вы смотрели видеоролик, то там представитель организации прямо говорит, что первый раз он подавал заявку совсем без оборудования и ему ее завернули. Из чего я делаю вывод, что пользоваться оборудованием он и его фирма совсем не планировали. Оно им в принципе не нужно.

    Специально для ЕвгенияКР )
    Дмитрий

    ОтветитьУдалить
  43. Евгению: совершенствование в каком смысле? для кого оно? в чьих интересах?

    ОтветитьУдалить
  44. Анонимный1.4.11

    > Зато подумайте, сколько бы слайдов от вашей презентации осталось, если б нам не указывали КАК именно нужно защищать ПДн? Сколько нерешенных вопросов снялось бы?
    В условиях нашего с вами существования без указания КАК защищать никто вообще бы НИКАК не защищал. У нас деньги считают, а не о людях заботятся. Безопасность информации тебе не принадлежащей - одни расходы. Особенно учитывая, что ответственности никакой.
    Дмитрий

    ОтветитьУдалить
  45. Анонимный1.4.11

    >В условиях нашего с вами существования без указания КАК защищать никто вообще бы НИКАК не защищал. У нас деньги считают, а не о людях заботятся. Безопасность информации тебе не принадлежащей - одни расходы. Особенно учитывая, что ответственности никакой.

    Как вы занятно рассуждаете.. ) Почитайте выше что я предлагал собственно.. изучите зарубежный опыт.
    Ответственности нет? Так именно ее и установите - ответственность.. Штрафы и прочее ЗА ПРОИЗОШЕДШИЕ ИНЦИДЕНТЫ. Оштрафуют полдесятка компаний и сразу же все будут защищать как надо!
    Вы считаете что защита по указаниям фстэк гарантирует нам отсутствие утечек?
    Вы считаете, что специалисты по ИБ сами не смогут определить как защищать информацию?
    Или, например, вот вас проверил фстэк и ркн и сказал , что все хорошо. А у вас произошла утечка и субъектам нанесен ущерб..
    Но с точки зрения государства у вас все хорошо, не так ли? ;-)

    Tiger

    ОтветитьУдалить
  46. >Честно скажу - я реально не специалист по лицензированию.
    Алексей, есть презентации с курсов по ТЗКИ в Ростове, выкладываю в блог лекцию по сертификации и лицензированию, если интересно — почитайте.

    http://esavchenko.blogspot.com/2011/04/tzki-1.html

    ОтветитьУдалить
  47. to _DeV1L_: спасибо :) Ну, я как бы в рамках тех трех слайдов-то "специалист". Но по официальным документам еще никто ни разу не получил лицензии. Вот по нюансам-то я и не специалист. А они, как известно, решают все. Итог - я реально не специалист по лицензированию :)

    ОтветитьУдалить
  48. Анонимный4.4.11

    > Но с точки зрения государства у вас все хорошо, не так ли? ;-)
    Нет, не так. Про ответственность и говорю, что только она и поможет.
    А у вас похоже предвзятое отношение к работникам органов по аттестации. Не нужно всех под одну гребенку...
    Дмитрий

    ОтветитьУдалить
  49. Анонимный4.4.11

    > изучите зарубежный опыт
    Сравните юридическую грамотность людей для начала. У нас же ни прав ни обязанностей не знают. Кто будет следить за адекватностью установленных требований по ИБ? Специалисты по ИБ организаций, в которых и будут применяться эти требования? Не смешите. Сначала надо грамотность людей поднять, чтоб могли требовать что-то законное от операторов.

    > Оштрафуют полдесятка компаний и сразу же все будут защищать как надо!
    Кто штрафовать то будет? Прокуратура? А кто туда обратится? Большинство субъектов даже не знает, что 152-ФЗ существует. )

    До запада нам еще очень далеко и перейти в одночасье на их опыт не получится. Поэтому госрегулирование и нужно. Не навсегда, но в данный момент.
    Дмитрий

    ОтветитьУдалить
  50. Анонимный4.4.11

    Не стоит пинать и без того избитое тело 152-ФЗ. Главное что он появился. Это уже полдела.
    По поводу зарубежного опыта - почитайте процесс становления законов о Пдн в той же европе. Те же грабли что и у нас. Только законы красиво изложены. Никто не хотел исполнять требования. Вопрос сдвинулся с мертвой точки только после внесения изменений о балансе интересов государства, операторов и субъектов.
    Все у нас будет хорошо, главное рационально подходить к вопросу, а не судачить напрополую.
    Вот Алексей отлично выступил, внес свою лепту.

    ОтветитьУдалить
  51. Дмитрию: так и хочется спросить: а судьи кто? Вы говорите о том, что народ наш "незрелый". И я собственно соглашусь. Как и с тем, что регулирование нужно - в европе и США оно присутствует. Но для того, чтобы регулировать, нужно иметь по крайней мере опыт, знания, СОВРЕМЕННОЕ видение и руководствоваться принципом "не навреди". Почему же у нас в стране термин "регулирование" является синонимом "давление"? И не я это говорю - президент РФ вещает! Потому, что сами регуляторы в большей массе своей не имеют должных качеств. А некоторые, особо ушлые представители, пользуются общим законодательным бардаком (опять же президент говорит об этом) и "доят" бизнесменов. На субъектов им абсолютно пофигу.

    Не нужно бизнесу такое регулирование. И субъектам тоже. Оно нужно регуляторам. Чтобы "отрабатывать зарплату". И не только на теме ПДн.

    ОтветитьУдалить
  52. Анонимному: Спасибо :)

    рационально = баланс интересов. Это именно то, о чем у нас не говорит только ленивый, но почему-то никто ничего не делает. Перекос всегда в одну сторону - государственную. ИМХО не хотят сдавать без боя насиженные денежные места.

    ОтветитьУдалить
  53. Анонимный4.4.11

    Алексей, я ни с Вами ни с Tiger'ом не спорю, что у нас плохое регулирование ИБ. Я просто не вижу выхода из этой ситуации в его аннулировании вообще. Его нужно менять, кардинально. Но убирать его пока нельзя. Потому, что субьекту тоже пофигу до себя, ему бы от зарплаты до зарплаты дожить.
    Дмитрий

    ОтветитьУдалить
  54. Анонимный4.4.11

    > ИМХО не хотят сдавать без боя насиженные денежные места.
    ИМХО борьбы не видно за баласн интересов 3-х участников отношений. Видно только перетягивание одеяла от государства к бизнесу. Субъекты как-то всем пофигу
    Дмитрий

    ОтветитьУдалить
  55. И с этим нельзя не согласиться. Потому и необходимо вводить реальную ответственность за реальные нарушения (утечки).

    ОтветитьУдалить
  56. Анонимный4.4.11

    И руками и ногами ЗА.
    Дмитрий

    ОтветитьУдалить
  57. Да, и по поводу субъектов - "Не нужно всех под одну гребенку..." :)

    ОтветитьУдалить
  58. Анонимный4.4.11

    А еще, чтоб ответственность не выборочная была.

    ОтветитьУдалить
  59. Анонимный4.4.11

    А я и не говорил, что все такие. Большинство - понятие относительное. )

    ОтветитьУдалить
  60. Анонимный4.4.11

    >Потому и необходимо вводить реальную ответственность за реальные нарушения (утечки).

    Вот я об этом и говорил. А то как защищать.. Также как всю остальную информацию на предприятии, например, на основе оценки рисков.
    И если риски штрафных санкций будут высоки , то и защищать будут соответственно.

    Tiger
    PS Авторизуется на ЖЖ через раз (

    ОтветитьУдалить
  61. Анонимный4.4.11

    Дак я и не говорю, что дело идет к балансу и прямо вот завтра внесут изменения.
    Для того, чтобы внести здравые изменения в закон надо, для начала, набить массу шишек. Тем самым будут выявлены нестыкующиеся моменты, проблемные места. И вот когда все будет систематизировано, то и изменения, надеюсь, пойдут во благо.
    Поймите, что на данный момент существует государство, преследующее свои интересы, лицензиаты - свои, и операторы - которые как дойные коровы. О субъектах я вообще молчу.
    Но почти никто не думает о реальной ценности закона. Операторы только и ждут когда же отменят этот "чертов" закон, который по их мнению только мешает работать. Пока не настал этап хотя бы мизерного осмысления необходимости защиты наших с вами данных...вот когда будет осмысление, тогда и менять что-то будет можно.
    Если внести изменения в закон сейчас, то изменения будут повысят защищенность операторов, а следовательно снизят нагрузку на них же. И как вы думаете это воспримется сейчас? О! Еще одно послабление! Надо еще подождать и дальше ничего не делать, а вдруг вообще отменят!
    На данном этапе становления защиты наших с вами данных такой подход считаю благом. Пока нужен именно кнут, чтобы силой привить необходимость, а дальше будет осмысление, а там уже... но это пока совсем другая история...

    ОтветитьУдалить
  62. > Пока нужен именно кнут, чтобы силой привить необходимость

    Необходимость чего - создания видимости защиты, бестолковой, бездарной и ровным счетом ничего никому не дающей (кроме, возможно, регуляторов)?

    ОтветитьУдалить
  63. Вы поймите, специалисты по ИБ - далеко не дебилы, да и операторы по большей массе тоже, так почему же любимое государство до сих пор мнит всех вокруг идиотами и считает что нужно везде применять кнут? И потом - если кнут, то пряник-то где? Или пряник - отсутствие кнута? Бред стройбатовский.

    ОтветитьУдалить
  64. Анонимный5.4.11

    // лицензиаты - свои, и операторы - которые как дойные коровы. О субъектах я вообще молчу.
    согласен ))

    ОтветитьУдалить
  65. Анонимный5.4.11

    Да в том то и дело что стройбатовский бред, который в действительно работает хоть как-то. Вы попробуйте сейчас дать добровольное обеспечение безопасности! Что будет, как думаете? Каждый из операторов после слова добровольно закроет книгу с заголовком ЗоПДн!
    Взять технику безопасности на производстве. Когда начинают читать требования? Когда что-то случается!
    Это российская действительность, все методом - пока гром не грянет...
    По поводу специалисты по ИБ - далеко не дебилы...Я бы не был столько категоричен и не чесал всех под одну гребенку. Сколько мне приходится разъяснений проводить, причем и среди Ибшников тоже. Только разница между оператором и Ибшником в том, что оператор всегда внимательно слушает и запоминает, а Ибшник в первую очередь считает меня некомпетентым неучем, а после неопровержимых доводов скажет "ну посмотрим, посмотрим, что ты мне тут написал или сказал."
    Примеров масса, вот навскидку вопросики задаваемые мне (моя компания занимается разработкой ПО):
    1. "А у вас есть лицензия РКН на ваши программные продукты? Лицензия которая дает право обрабатывать персональные данные."
    2. "У вас есть сертификат на НДВ в ваших продуктах?". Спрашиваю почему именно он, ответ Он дает право на АРМах никакие СЗИ не ставить."
    И это именно вопросы от Ибшников!

    ОтветитьУдалить
  66. Это же рабовладельческий строй... Печально осознавать, что граждане наши находится на таком уровне развития, еще более печально - что это государству нравится...

    ОтветитьУдалить
  67. Анонимный5.4.11

    Да я не про вечную кабалу)) наверное вы меня не допоняли.
    Я о том, что государство должно грамотно распределять усилия по внедрению.
    Вот возьмите пример, внедрение софта в гос.учреждениях. Сидит баба Клава, которая всю жизнь на счетах считала и все у нее быстро получалось. Но тут руководство дало команду автоматизировать подсчеты и выбросить счеты. Пришел внедренец к бабе Клаве, чтобы внедрить свой полезнейший софт. И что он слышит? Сплошные ругательства - для чего это все нужно, бесовские машины! Ничего не работает! И все продолжается до тех пор, пока не придет руководство и не скажет "Баба Клава, либо учись, либо увольняйся!". Баба Клава учится и потихоньку ощущает прелесть бесовской машины. И в дальнейшем никому не приходится ругаться , а только успевай обновления ставить.
    Так же и с законом должно быть, сначала кнут и обязаловка, чтобы все узнали о существовании закона, узнали требования. А дальше можно и про баланс интересов поговорить. Но чтоб разговор был предметным, для начала кнутом надо подстегнуть.
    Есть конечно люди которые изначально адекватно подходят к этому вопросу, но таких очень мало!

    ОтветитьУдалить
  68. Так стегают уже 4 года - и в раж вошли настолько, что остановиться не могут. Да и зачем останавливаться, если что не щелчок - то бабла кусок...

    ОтветитьУдалить
  69. Я предполагал что все плохо, но оказалось что требования соответствия как будто из параллельной реальности. Считаю такую ситуацию, когда предприятия вынуждены беспокоится исключительно о комплаенсе опасной. Собственно, такая вот "безопасность" хуже чем никакой, так как в случае отсутствия средств контроля есть хотя бы понимание что есть риски и есть причины по которым риски принимаются..Если уже инвестировало предприятие деньги, то несмотря на то что оно было вынуждено это делать оно все равно будет ждать как можно дольше (определенный "период возврата инвестиций" и в кавычки не я взял не просто так кстати) ждать перед выделением средств на систему ИБ.

    ОтветитьУдалить
  70. > вынуждены беспокоится исключительно о комплаенсе опасной

    А если учесть, комплаенсе чему - вдвойне

    ОтветитьУдалить
  71. Я в последнее время начал скептически относиться к любым требованиям внешних организаций..правильная ситуация по моему это когда организация внедряет что-либо когда сама понимает актуальность вопроса. Единственная мера "комплаенса" которую я бы оставил - УК. Потерял мед данные клиентов? Статья. Потерял СVV2 из-за хранения? Статья. И так далее.

    ОтветитьУдалить
  72. Анонимный7.4.11

    Тоже вариант.
    Знаете, по долгу работы приходится сталкиваться со многими дивностями...
    Вот к примеру, есть компания, продает аттестованные площадки по требованиям ЗоПДн. Поставили пару сертифицированных штуковин, получили аттестат. Требования выполнены, проверка не придерется. Но система безопасней от этого не стала.Секрет нет на сервере не есть защита от НСД web системы. Аудит ведется по идее, но аудит чего ведется то? Спрашиваю, разводят плечами, а что требования соблюдены, че вам еще надо то?
    Самое главное, что проверяющие то...
    Помню еще по гостайне была ситуация - приехали ФСТЭКовцы. Проверяют документацию по режиму защиты. Инструкция...а почему у вас в 5м пункте нет таких то слов? Ответ - потому что они рациональнее используются в 12м пункте.
    Непорядок. Инструкция у вас нерабочая! Передалать - предписание...вот так и живем. То ли реальную защиту обеспечивать но подвергаться постоянным административкам, то ли забыть про защиту и накупить красивых сертифицированных бирюлек, которые к нынешним web системам ну никак не приспособлены!
    Видел недавно у крупной компании ICL продукт по защите от НСД на базе МЭ Imperva. Хорошая штука, но она не защищает от НСД, а лишь мониторит трафик. Зато сертификат есть...

    ОтветитьУдалить
  73. > продает аттестованные площадки по требованиям ЗоПДн

    Жесть! :) Что за фирма, если не секрет? :)

    ОтветитьУдалить
  74. Анонимный8.4.11

    К сожалению секрет...иначе сразу бы написал название.

    ОтветитьУдалить
  75. Ну а если я хочу приобрести?

    ОтветитьУдалить