Проекты по защите персональной информации, в Европе и США делают с целью снижения операционных и правовых рисков. В России такие проекты выполняют с целью снижения рисков общения с «государством». Отсюда идут особенности российских проектов. Если бизнес реализует проект, стремясь снизить операционные риски, то критерий успешности проекта – реальное снижение операционных рисков. Если бизнес стремится снизить риски связанные с «государством», то где критерий успешности проекта? Очевидно успешное прохождение проверки регулятора. А что если регулятор не придет или придет не скоро, то как оценить качество выполнения работ? На сегодняшний день успешность проекта реально никто не оценивает. В лучшем случае какую-то оценку проведет руководитель проекта со стороны заказчика. Если он подтверждает, что проект успешен, то на этом и «порешили». Супер, но РП может сказать, что проект ему нравится, а регуляторы скажут, что это ерунда. Что тогда? Другими словами, выделить какие-то единые критерии успешности проекта по защите персональных данных сложно.

Учитывая разницу в предлагаемых интеграторами решениями и отсутствие здравых и согласованных позиций регуляторов приводит к тому, что невозможно создать чеклист пройдя по которому можно определить «Хороший проект\Нехороший проект».

Появилась проблема, которую никто решать не стремится.

Большинству интеграторов, в общем-то, все равно (свою оплату они получат), а вот что с заказчиком? Получит ли он должный результат? Вопрос открытый…

За последние 2 с лишним года я провел встречи с представителями более чем с 200 компаний, которые запускали проекты по защите персональных данных. Доводилось сталкиваться с разными ситуациями. Поэтому целью данного слайдкаста я вижу описание некоторых принципов защиты персональных данных на предприятии, а также хочу указать на часто встречающиеся подводные камни, о которых интеграторы не любят говорить.

Истина в обсуждении и практике.

Некоторые из наших уважаемых регуляторов очень хотели и хотят установить жесткие требования, чтобы было понятно, если система такого-то класса, то должно быть установлено то-то. Оценка рисков мешает регулятору по объективным причинам. Если вы классифицируете систему как специальную, то наказать вас как «невыполнившего требования» сложно. Так вот, таких спорных вопросов в теме защиты персональных данных чрезвычайно много. Побеждать в вероятных спорах будут самые подготовленные. Отсюда первый посыл, если вы хорошо разбираетесь в теме и можете аргументировать свою позицию, то проверка вам не страшна.

Договор НУЖНО читать.

Многие решают работать с регулятором для того чтобы переложить на него риски. Желание достойное, но, ни один нормальный интегратор не возьмет на себя ответственность за обработку персональных данных. Ответственность берется за проект. Другими словами интегратор гарантирует, что он выполнит работы в рамках договора, а уж как будет осуществляться обработка после его ухода решать самому оператору. Ключевое слово- договор. В свое время, работая в продажах, я регулярно запускал проекты с крупными заказчиками еще до заключения договора. Это было выгодно как заказчику, так и исполнителю, всем кроме меня и конкретного исполнителя заказника. Мы рисковали своей репутацией. Раньше интеграторы могли себе позволить проводить работы даже в ущерб себе, лишь бы не обидеть заказчика, т.к. последующие контракты могли отбить все расходы. Мы не видели риска больших экономических потрясений и могли быть уверены, что все закончится успешно. Сейчас ситуация поменялась. В наши смутные времена, когда ситуация 2008 года более чем вероятна, лучше приступать к работам только после детального согласования договора.

В договоре на работы может быть указана ответственность сторон, можно переложить на интегратора какие-то финансовые риски, или предусмотреть доработку решения в каких-то случаях. Поэтому в лучшем случае интегратор поможет вам разделить с ним риски, что уже очень здОрово.

Кавалерия может не спасти.

У серьезных интеграторов в штате есть представители регуляторов (в отставке). Это необходимо для успешного GR. И в случае необходимости «кавалерия» может выехать. Все бы ничего, но мероприятие это дорогое, поэтому если заказчик просит обеспечить помощь при проверке, то стоимость этих мероприятий должна отразиться цене договора, плюс эти мероприятия должны быть явно прописаны в договоре, в противном случае все это останется лишь словами. Это же можно сказать и о согласовании модели угроз с регуляторами.

В любом случае не стоит полагаться только на кавалерию. Нужно разбираться в теме самим.

Закон и подзаконные акты – инструмент

Если у «власти» появится желание (причина неважна) надавить на компанию при помощи закона о персональных данных, то никакой проект не спасет. Закон о персональных данных – как и любой другой, это ПРОСТО ИНСТРУМЕНТ, который можно использовать, в том числе и для давления на бизнес. К счастью (для кого-то к сожалению) закон о персональных данных не самый удобный и действенный инструмент давления на бизнес, хотя прецеденты, когда закон использовали в конкурентной борьбе, уже были.

К теме персональных данных нужно подходить с точки зрения управления рисками.

Если провести оценку рисков, связанных с законом о персональных данных, то групповой риск окажется невысоким (сила риска низкая и вероятность также низкая). А раз так, то большинству операторов дешевле ничего не делать, это правда жизни. Однако по ряду причин с государством мы шутить не любим, поэтому стремимся сделать все от нас зависящее, чтобы нивелировать риски. Как я уже говорил, для большинства компаний риск невелик, а вот для неокрепшего отдела информационной безопасности, и работающих там людей этот удар может оказаться фатальным.

На мой взгляд, при проведении работ по защите персональных данных не нужно «выкручиваться» и заниматься какими-то махинациями в документации, например, изо всех сил доказывать, что персональных данных в кадровом холдинге нет. Нужно делать все, что в наших силах, без фанатизма.

Если делать, то делать хорошо.

Не нужно соглашаться на предложения интегратора провести обследование какой-то части процессов, чтобы «поменьше было защищать». Если согласитесь, то в результате не получите ни нормального внедрения, ни проекта, ни обследования. Если не хватает бюджета, то остановитесь на этапе полноценного обследования и проводите остальные работы по мере выделения денег или самостоятельно.

Большинство безопасников не может обосновать бизнесу необходимость покупки средств защиты на десятки миллионов рублей. Если так, то и «не нужно биться головой об стену», донесите до бизнеса риски и сделайте что можете.

Устранить все риски невозможно.

Сколько бы денег оператор персональных данных не вложил, все равно у него не будет гарантии, что вопрос окончательно решен, а раз так, то управляйте рисками.

ИТ и ИБ специалисты должны разбираться в юридических вопросах.

Сложна жизнь современного сотрудника ИТ или ИБ…

Проекты выполняют не компании, а конкретные исполнители

Постоянно сталкиваюсь с фразами типа: «Компания «А» выполнила 20 проектов, а компания «В» выполнила в 2 раза больше, значит нужно работать с «В» (они круче)».

Если год назад компания выполнила 40 проектов, то не факт что сегодня там есть хоть один человек из этого направления. Движение кадров между интеграторами идет постоянно, поэтому, гораздо важнее не количество завершенных проектов, а количество проектов в работе.

На чем зарабатывает интегратор?

Наверное, это один из самых важных вопросов, на который нужно ответить перед выбором интегратора. До заключения договора заказчику желательно примерно понять каков состав выручки у интегратора. Условно интеграторов можно разделить на 2 типа:

1) Те, которые зарабатывают на поставке технических решений
2) Те, которые зарабатывают на консалтинге

В первом случае заказчику могут предложить очень выгодные цены на обследование, разработку документов и т.п. Легко! Ведь на этапах проектирования и внедрения интегратор получит сверхприбыль и с лихвой покроет убытки по консалтингу. Как правило, по такому пути идут крупные интеграторы. У них большие обороты, которые позволяют получать от вендоров хорошие скидки (либо у компании есть свои технические решения). В результате в техническом проекте такие интеграторы традиционно прописывают большое и дорогое внедрение. Недополучив деньги на консалтинге, снять сверхприбыль с внедрения – распространенный трюк.

На консалтинге зарабатывают в основном небольшие интеграторы, у которых нет возможности конкурировать в поставках технических решений с более крупными коллегами. Кроме того у таких компаний часто нет специалистов, которые могут быстро и качественно провести внедрение. В результате такие консультанты стараются закрыть максимум требований организационными мерами, чтобы избежать тяжелого внедрения.

Кто круче, вице-президент или менеджер по продажам?

Не верьте визиткам. Здесь интеграторы пишут все, что хотят. Вы можете вести переговоры с «плохеньким менеджером», а на визитке будет написано что он «первый вице-президент», поэтому даже не стоит читать должности. Если получится, то проследите как они общаются между собой во время встречи и все станет ясно.

Если в сердце дверь закрыта, куда постучаться?

Вы заключили договор с каким-то консультантом. Как с ним работать? Начнем с того, что работаете вы с людьми, а не с компанией. Эти люди занимают разное место по должности и по влиянию.

Кого обычно знает руководитель проекта со стороны заказчика?

1. Продавец\Менеджер по продажам\Менеджер по развитию\Менеджер по работе с корпоративными заказчиками\Директор по развитию\Директор по продажам\Директор по работе с корпоративными клиентами\Вице-президент по продажам и т.п.
2. Менеджер проекта\Менеджер по управлению проектом\Руководитель проекта\Начальник проектной команды\Директор проектного отдела и т.п.
3. Главный инженер проекта\Ведущий консультант по «чему-то»\Главный консультант по «такой-то услуге»\Руководитель направления и т.п.

Тут главное понять, кто и что делает. 1-й это тот с кем вы общались до заключения контракта, от отправлял вам предложения, ездил к вам в гости и т.п. 2-й это тот с кем вы стали общаться после заключения контракта в большей степени, чем продавец. 3-й это, как правило, самый умный в предмете проекта.

Теперь нужно определить, кто и что из себя представляет, и к кому обращаться по тому или иному вопросу.

Условно интеграторов можно разделить на 2 типа:

1) Продажно-ориентированные

В таких интеграторах Менеджер по продажам – царь и бог . Он имеет быстрый доступ к первому лицу компании (вне зависимости от размера компании) и может решить возникшую проблему быстро и эффективно. Менеджер проекта и Главный инженер проекта имеют значительно меньший вес.

2) Проектно-ориентированные

В таких компаниях вес всего производственного подразделения значительно выше, веса коммерческого отдела.

Деление условное, и отнести интегратора к тому или иному типу можно очень условно. Однако если вы разобрались, что компания, с которой вы работаете продажно-ориентированная, то по всем серьезным вопросам стоит обращаться к Менеджеру по продажам, который имеет ресурс «повоздействовать» на производственный отдел решить вопрос. В таких компаниях ругаться с Менеджером проекта или Главным инженером проекта просто бессмысленно, ничего серьезного они решить не могут. А раз ругаться смысла нет, то остается только один вариант – дружить с ними . Если что-то вам не нравится, то стимулируйте их через Менеджера по продажам (и его начальство) и должное внимание вам обеспечено.

Если вы определили, что компания, с которой вы работаете, проектно-ориентированная, то стоит забыть телефон и почту Менеджера по продажам, пусть он вам пишет и звонит. Выстраивать отношения нужно с Менеджером проекта и Главным инженером проекта, также постарайтесь познакомиться с главой всего производственного подразделения, если найдете общий язык, то шансы повысить успех проекта резко увеличатся.

Консультанты врут и заблуждаются.

Рынок защиты персональных данных очень непрозрачен. Есть такая поговорка «Два юриста – три мнения», на тему персональных данных ее можно перефразировать так «Два ИБ-шника – тридцать три мнения». Обсуждение всех коллизий законодательства идет не первый год, и до сих пор даже в рамках блог-сообщества мы не можем прийти к общему знаменателю как минимум по 20% вопросов. И эта ситуация будет продолжаться еще долго. С учетом появления новых тем по информационной безопасности, коллизий будет еще больше.

На этой почве появляется много спекуляций. Многие консультанты откровенно врут в своих интересах. Кроме того лицемерие никто не отменял и в проектах некоторых консультантов для разных «похожих» заказчиков вы можете увидеть прямо противоречащие друг другу утверждения. Больше всего мне нравится такая «подстройка» под потребности заказчика – если заказчик не готов ставить сертифицированные средства защиты (многие западные компании), то интегратор прописывает в своих результатах отсутствие необходимости использования сертифицированных решений и продает по полной программе DLP, западную криптографию и т.д. в качестве средств защиты персональных данных. Мне была бы понятна ситуация, когда исполнителям заказчика все было популярно разъяснено, и он сам запросил несертифицированные решения, однако сплошь и рядом встречаются ситуации откровенного обмана.