Лица ИБ. Евгений Царев

Добрый день, дорогие читатели! Сегодня я хотела бы поделиться с вами интервью с экспертом в области информационной безопасности - Евгением Царевым. Евгений занимается в основном судебной и досудебной экспертизой в области ИБ, ведет курсы, пишет статьи, а также является выпускником легендарного ТУСУРа. Поэтому предлагаю без лишних предисловий приступить к чтению :)

Царев Евгений Олегович

Аудитор, внедренец и сертифицированный тренер по Стандарту Банка России в области информационной безопасности, аудитор и тренер по ISO/IEC 27001. Автор многочисленных курсов по информационной безопасности. Публикуется в СМИ, ведет блог - https://www.tsarev.biz.

Образование:

·         2009 — 2011 MBA, Академия народного хозяйства при Правительстве РФ (АНХ), Инновационное управление.

·         2001 — 2006 Томский государственный Университет Систем Управления и Радиоэлектроники, радиотехнический факультет,

·         2003 — 2005 Томский государственный Университет Систем Управления и Радиоэлектроники, Антикризисное управление.

·         2015 — Профессиональная переподготовка «Информационная безопасность» (512 часов).

1. RTM Group – уникальная организация в сфере компьютерного права. Можешь рассказать, как она создавалась?

Как это часто бывает, через сарафанное радио ко мне обратились с просьбой сделать исследование по тематике банковской ИБ. Задача была очень узкая, не могли найти эксперта в экспертных организациях. Сделал. Суд принял. Потом второй запрос, третий… Познакомился с коллегами, которые занимаются компьютерно-техническими экспертизами по 10-20 лет. Узнал много нового. Если обобщить, существующая система компьютерно-технических экспертиз не покрывает потребности судебной системы. Я не занимаюсь уголовными делами, поэтому говорю только про гражданские, это важно уточнить. Так вот, представьте, что судье арбитражного суда приносят дело, в нем есть договор, по нему одна компания разрабатывала какое-нибудь ПО для другой компании, но им не заплатили. Они хотят оплату. Заказчик говорит, что ничего не работает, поэтому платить не будем. И это еще не все. В ходе разбирательства, суд устанавливает, что установку и настройку этого ПО делала третья компания, а четвертой компании передали все это дело на техподдержку. И что делать суду? Как разобраться в таком деле? Как понять, кто виноват? В первую очередь нужна экспертиза. Ок, но это не компьютерно-техническая экспертиза! Здесь помимо самого ПО, суду нужно еще и исследование и оценка проектной документации, технической переписки… суду может потребоваться проведение тестирования… оценить корректность интеграции… получить заключение о соответствии требованиями регулирующих органов, например, ФСТЭК России, или ГОСТам. И куча чего еще. Дела-то разные и потребности суда могут быть разными. У всех этих потребностей есть только один общий признак – область ИТ на стыке с правом. Экспертные организации, как правило, занимаются огромным количеством различных экспертиз: автотехнические, почерковедческие, бухгалтерские, экологические, искусствоведческие и прочее. Для них компьютерно-техническая экспертиза это одна из десятка услуг и ими занимается несколько человек, которых бросают из одной узкой темы в другую. Невозможно быть экспертом во всем, и эти пара человек, какими бы умными они ни были – они не знают всего и не могут делать на высоком уровне все экспертизы подряд, в которых встречается слово «компьютер» или «информационная». Как результат, качество экспертиз «в среднем по больнице» очень низкое – это раз. Суды не получают нужную услугу – это два.

Небольшой экспертной группой мы сформулировали экспертные профили. Т.е. для самих себя ответили на вопрос, какой нужен под конкретную экспертизу. А теперь все просто, как только поступает запрос, мы смотрим в профиль и выбираем нужного эксперта. Если требуется сразу несколько профилей – готовим письмо на комиссионную экспертизу (несколько экспертов в одной экспертизе).

Так появился RTM TECHNOLOGIES.

Сегодня мы оформились как RTM Group. Т.е. теперь мы работаем группой компаний. Если коротко, помимо решения экспертных задач у нас теперь есть профессиональные юристы-судебники, которые подготовлены к ведению ИТ-дел.

Фактически RTM Group – это единственная структура в России, которая занимается судебными ИТ-экспертизами и одновременно может вести судебные дела. Естественно, применительно в одному делу - либо одно, либо второе.

2. Как проводятся судебные экспертизы в сфере ИБ, в чем их специфика?

Чисто процессуально никакой разницы нет. Кроме крайней желательности наличия лицензий ФСТЭК и ФСБ. Суды больше доверяют компаниям с лицензиями, если вопрос касается ИБ.

Главная специфика – это регуляция. И для суда и для юристов, которые представляют интересы сторон по делу, иногда открытие, что есть руководящие документы, что вопросы, связанные с криптографией – вообще отдельная история. Что даже, казалось бы, простой вопрос превращается в основной элемент разбирательства.

У меня было дело, которое длилось 3 года. Центральной темой спора был вопрос обязательности исполнения банком СТО БР ИББС. Естественно, СТО БР ИББС – рекомендательный, пока нет решения самого банка принять его для себя в качестве обязательного. Вот видишь, я уложил объяснение этого вопроса в 1 предложение, но благодаря целому ряду ошибок в работе представителей сторон по делу, этот спор длился много лет.

Это кстати отдельная проблема, корпоративные юристы часто очень боятся, что их подсидят, как-то пододвинут, если к делу подключится ИТ-юрист со стороны. Поэтому они без понимания проблемы идут в суд и успешно проигрывают 100% выигрышные споры.

3. Какие организации чаще обращаются? Я имею ввиду отрасль – банки, нефтегазовый сектор, сфера ЖКХ.

Все. Вообще все. Последний год стало много экспертиз в делах, где коммерческие компании судятся с госзаказчиками.

4. Расскажи забавный случай из судебной практики.

У нас был очень долгий и сложный процесс, в нем я был представителем клиента -юридического лица, у которого компьютерные жулики украли весьма крупную сумму. Мой клиент судился с банком, который, такое ощущение, делал все возможное, чтобы деньги клиента были похищены. Представитель банка активно пытался нас дискредитировать, лично меня пытался обвинить в некомпетентности – это нормальная практика в судах, некоторые представители противной стороны пытаются очернить оппонента, таковы многовековые традиции)).

Пару лет назад мы выпустили исследование с анализом судебной практики по спорам между банками и клиентами из-за хищений в системах Интернет-банка https://rtmtech.ru/issledovaniya/ . Так вот, в какой-то момент очередного заседания этот товарищ встает и просит приобщить к материалам дела мое исследование со словами, что есть такие крутые специалисты и эксперты, которые глубоко разбираются в теме и вот написали исследование, в котором клиенты часто проигрывают судебные дела. Он просто не знал, что этих «крутых» экспертов он минутой раньше называл некомпетентными людьми.

Судья еле сдерживался от смеха когда, на вопрос возражаем ли мы против приобщения этого исследования к материалам дела, наш юрист встал и сказал, что оно не имеет отношение к делу, а на вопрос откуда мы знаем его содержание, уже я встал и сказал, что это мое исследование.   

5. За какое дело в суде испытываешь особую гордость?

Пока не могу говорить, оно еще идет, но мы всей командой испытываем гордость за ту работу, которую провели.

6. Часто ли привлекают для проведения служебных проверок?

Регулярно. У нас ими занимаются отдельные сотрудники. Как правило, нас приглашают для правильного оформления доказательств. Судебная практика по трудовым спорам такова, что чтобы уволить по статье откровенного жулика, нужно хорошо поработать.

7. Можешь рассказать интересный случай из этой области, понятно, что информация конфиденциальная, в общих чертах.

Было дело, где один из ТОПов обладая несколькими токенами (своими и чужими) продал имущество компании на девятизначную сумму. Все бы хорошо, да только о сделке никто кроме него не знал. Банальное воровство с бегством на теплые берега.

8. Легко ли уволить сотрудника за нарушение в сфере ИБ?

За последние годы стало проще в разы. Главное доказать, что это нарушение действительно значимо для компании, что отправка, например, данных клиента третьему лицу опасна для клиента и для компании. Все это нужно мотивировать, но если коротко, то требования по ИБ лучше не нарушать, даже если это нужно, как вам кажется, для бизнеса компании.

9. Что можно сказать о регионах? Консультируются?

Вы удивитесь, но у нас основная масса экспертиз – это регионы. Основная масса процессов и проектов – тоже регионы.

10. Сложно ли стать сертифицированным тренером по стандарту Банка России в области информационной безопасности?

Сложно). Для меня банковская нормативная регуляция ИБ долгое время была профилем. Мне нравится работать с банками.

Сейчас стандарт теряет актуальность, сейчас на первый план выходит тема ГОСТ Р 57580.Х «Безопасность финансовых операций». Думаю сюда нужно прикладывать силы.

11. Ты проводишь различные курсы по информационной безопасности. Кто приходит на них, тяжело ли учить взрослых людей? Есть желание работать со студентами?

Моя принципиальная позиция, что преподавательская работа – обязательна для эксперта. Она неразрывно связана с экспертной деятельностью и дополняет ее.

Мне одинаково комфортно работать со студентами и со взрослыми, состоявшимися людьми.

На молодежь я смотрю с упоением. Серьезно. Вспоминая себя в 18 лет и сравнивая с теми, кому сейчас 18, делаю вывод, что они лучше нас, они интереснее, они умнее. При этом они совершают много ошибок, например в планировании карьеры.

Взрослые слушатели мне интереснее тем, что я сам у них учусь. Это не преподавание, когда есть один умный и остальные дураки, это общение коллег. Плюс взрослый человек, на то он и взрослый, берет их курса то, что хочет, если что-то не берет – это его дело.

12. У тебя огромное количество публикаций, есть ли любимые темы? Темы, на которые писать совсем не хочется?

Я ненавижу тему персональных данных. Остальное – все хорошо.

13. Ты ведешь блог с 2009 года, сложно ли заниматься блогингом в течение такого продолжительного времени? Что изменилось в блогосфере? Почему так редко появляются новые блогеры?

Сейчас я фактически ничего не пишу в блоге. Только даю короткие комментарии по текущим новостям. Мне такой формат удобнее, плюс аудитория уходит из формата блогов и распределяется на другие формы контента.

14. Кого читаешь?

Всех и никого). Мне готовят ежедневные подборки контента за сутки. У меня есть критерии важности, поэтому я читаю 5-10 заметок в день.

15. В работе часто требуется находить судебные решения. Где можно черпать информацию? На что обращать внимание в судебном решении?

Есть разные аналитические системы: Гарант, Консультант, Caselook. У каждой есть свои плюсы и минусы. К слову нет идеального инструмента для анализа судебной практики. Это просто беда какая-то. Судебные решения я читаю часто, поэтому знаю, куда смотреть, если нужно что-то конкретное. Например, если тебе важно понять логику судов в конкретных делах, после первичного отбора решений, а их может быть, например, 200, я смотрю название суда, решение, мотивационную часть и статьи. И так 200 раз в таком порядке. После первой сотни решений логика вырисовывает четко. Тем более, что можно сколько угодно говорить про непрецедентное право в России, но судьи часто списывают друг у друга)))

16. В прошлом году мы разминулись на paymentsecurity, много ли мероприятий по ИБ посещаешь? Посоветуй начинающим специалистам - как выбрать стоящее?

В этом году я на мероприятия совсем редко ходил, только если доклад был или нужно было встретиться сразу с несколькими людьми в одном месте. Если говорить про начинающих, то можно ходить на технические конференции вроде PHDays или не ходить на конференции вовсе. Не тратьте время. Делайте собственные исследования, пишите софт, проектируйте железо, придумывайте методики – все что угодно. Работы море. Ищите стажировки. Особенно для Москвы – это вовсе не проблема. Выше я говорил, что молодые люди совершают много ошибок в планировании карьеры. Так вот, мой совет – никогда не идите на работу в крупную компанию. Вообще никогда. А молодом возрасте – вообще-вообще. Чем меньше компания, тем больше ваш функционал и возможности. Найдите команду по духу и вперед. 

17. Любимая художественная книга?

Скажу не художественную и не любимую. Просто книга, которую советую всем прочитать: «Теория игр. Искусство стратегического мышления в бизнесе и жизни»

18. На мой взгляд, отрасль переживает период подъема. А как ты считаешь, к чему стремится ИБ в России?

А я считаю, что ИБ как отрасль прекратила свое существование)). Если серьезно, то ИБ переходит в форму функционала безопасности. Не той безопасности, где кредиты и судимости сотрудников ищут. А безопасность всей этой компьютерной магии.

Никому не нужна безопасность системы – нужна безопасная система.

Никому не нужна защита информации – нужна защищенная информация.

Т.е. это функционал какого-то более крупного процесса. Соответственно нас размоет по всей экономике.

19. Нужно ли специалисту по ИБ быть немного юристом или системным администратором, программистом? Нужны ли универсальные солдаты?

Не всем специалистам нужно быть универсальными. Например, экспертам-судебникам, да, обязательно нужен широкий профессиональный кругозор. А если человек разработчик хороший и ему это нравится, зачем ему арбитражно-процессуальный кодекс?

20. Что можно посоветовать молодым специалистам?

Ведите свои исследования, свои проекты и никогда не работайте в крупных компаниях.

Первые годы профессиональной деятельности нужно работать на нужном ВАМ месте и за любые деньги, даже бесплатно. Даже если придётся самим за это приплачивать - соглашайтесь)). Я серьезно. Тот кто будет работать в правильном месте, за любые деньги и будет работать хотя бы по 10-12 часов в сутки, тот через 3 года будет супер-профессионалом, опытным и, главное молодым, чтобы успеть реализовать себя.

21. Если не ИБ, то какая работа заинтересовала бы?

Я недавно спросил себя, что бы я делал, будь у меня неограниченное количество денег. Ответ был – тоже самое.

22. Расскажи, немного о планах на будущее.

Продолжать двигаться дальше. 

Вот такое интересное интервью получилось. Спасибо Евгению за уделенное время и содержательные ответы!
Хороших выходных!

Другие Лица ИБ:
Наталья Храмцовская
Владимир Безмалый
Сергей Борисов
Мария Сидорова

Подписывайтесь на страницу ВК: https://vk.com/kshudrova

Кандидатская диссертация. Мой опыт

Добрый день, дорогие читатели! Сегодня я хотела бы поделиться с вами своим опытом защиты кандидатской диссертации. В сети не так легко найти полную последовательность действий при защите, поэтому у меня было очень много вопросов. Надеюсь, мои заметки будут вам полезны

В январе 2011 года я закончила Сибирский государственный аэрокосмический университет имени академика М.Ф. Решетнева, кафедру безопасности информационных технологий по специальности "Информационная безопасность телекоммуникационных систем". В феврале уже была аспирантом-заочником на кафедре информационно-управляющих систем того же СибГАУ. 

Учиться я начала по специальности 05.13.01 - "Системный анализ, управление и обработка информации (космические и информационные технологии)". Для того, чтобы поступить в аспирантуру, сдавала экзамены по философии, иностранному языку и специальности. Порядок обучения в аспирантуре сейчас сильно изменился, поэтому останавливаться на нем подробно не буду. Закончила аспирантуру в 2015 году, имея за плечами опыт работы руководителя по гранту, сданные кандидатские минимумы и публикации, простые и ВАК. После окончания аспирантуры я продолжала свои исследования, публиковала их результаты и дописывала работу. 

Осенью 2016 года я представила свою работу на внутреннем семинаре, получила множество замечаний и конструктивную критику. С осени 2016 года по июнь 2017 я исправляла замечания и наконец вышла на предзащиту. Результатом предзащиты были новые замечания, требование написать еще одну статью ВАК, которая и была написана летом (к защите у меня было 4 статьи ВАК и одно свидетельство о регистрации программы для ЭВМ). В сентябре 2017 года состоялась вторая предзащита, на ней были высказаны новые замечания и рекомендовано выходить на защиту. В октябре 2017 у меня родился сын. С сентября 2017 шла работа с замечаниями внутренних экспертов. В конце концов в ходе переписки и личных встреч были устранены все замечания к работе. 

В мае 2018 года появились готовые диссертация и автореферат. Работа была рассмотрена в университете, по ней выдано заключение. Файлы диссертации и автореферата были отправлены в аспирантуру, вместе с заявлениями о принятии диссертации к защите и о размещении на сайте университета. Работа прошла проверку на заимствования. 

В результате 22 мая диссертация была выложена на сайт университета, 6 июня там же было опубликовано решение о принятии диссертации к защите, размещен автореферат. Была назначена ведущая организация, оппоненты и дата защиты - 19 октября. Параллельно информация появилась на сайте ВАК.

Диссертационная работа и автореферат были отданы в печать. Диссертация оформлялась в жесткий переплет А4, авторефераты в маленькую книжечку формата А5 с двусторонней печатью. Экземпляры диссертации были отправлены оппонентам, в ведущую организацию, в библиотеку. Авторефераты - экспертам (которых мы искали совместно с научным руководителем и консультантом) и в библиотеки. По завершении отправки почтовых отправлений с меня взяли список отправки с почтовым штемпелем (такое спрашивают не везде). Отправка экземпляров диссертации и автореферата закончилась 8 сентября (нужно было уложиться не позднее, чем за месяц до защиты).

Потом была работа по получению отзывов от экспертов, оппонентов и ведущей. Оригиналы отзывов должны быть получены соискателем и размещены на сайте не позднее, чем за 10 дней до защиты. У меня было 6 отзывов экспертов, отзыв оппонента и ведущей. Параллельно велась работа по организации доставки оппонентов - помощь в бронировании отеля, самолета, оформление документов на оплату расходов им от университета. На моей защите присутствовал только один оппонент, это допустимо. Но если оба оппонента не приезжают, тогда защита не проводится.

К защите нужно было подготовить раздаточный материал с распечаткой слайдов и проектом заключения диссертационного совета, саму презентацию, доклад и ответы на замечания. Доклад на защите не должен превышать 15 минут, но лучше, если он будет еще меньше, приблизительно 12 минут. После доклада идут вопросы от диссертационного совета, на них нужно ответить по существу. Затем начинается дискуссия. Члены диссертационного совета высказывают свое мнение. Потом начинается тайное голосование (черные шары и белые шары - метафора, используются обычные листы, а жаль). У меня было 16 голосов из 16 "за". 

После защиты у соискателя есть месяц, чтобы подготовить стенограмму своей защиты. У меня была с этим небольшая проблема - диктофон три раза разряжался и некоторые данные пришлось выуживать из видеозаписи, которая ведется на протяжении всей защиты (поэтому лучше подстраховаться и записывать на несколько устройств). Но в конце концов стенограмма была готова и отправлена, вместе с экземпляром диссертации, автореферата и документами, записанными на диски. Корочка придет ориентировочно в мае-июне 2019 года.

Вот в общем-то и все, так я и стала кандидатом технических наук: 10 лет работы над темой (еще с университета), 7 лет написания текста диссертации. Думаю, что можно все сделать гораздо быстрее, но у меня было множество параллельных проектов. Всем соискателям - удачной защиты!

Подписывайтесь на страницу ВК: https://vk.com/kshudrova

Свежее от ФСТЭК

1. Об обновлении документов ФСТЭК России по сертификации средств защиты информации и аттестации объектов информатизации https://fstec.ru/127-lenta-novostej/1656-informatsionnoe-soobshchenie-18
2. Перечень органов по аттестации
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/590-perechen-organov-po-attestatsii-n-ross-ru-0001-01bi00
3. Государственный реестр сертифицированных СЗИ
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00
4. План проверок 2019
https://fstec.ru/eksportnyj-kontrol/planovye-proverki/1728-plan-provedeniya-planovykh-proverok-na-2019-god

Присоединяйтесь к странице ВК:
https://vk.com/kshudrova

Книги по персональным данным

Добрый день, дорогие читатели! 19 октября я защитила кандидатскую диссертацию и теперь веду блог уже как кандидат технических наук. Надеюсь это обстоятельство повлияет на качество заметок :)  О своем опыте защиты и написания диссертации я напишу чуть позже, а сегодня хотела бы поделиться с вами списком интересных книг по персональным данным. Речь пойдет о книгах, посвященных вопросам российского законодательства в области персональных данных. 

Вот, что удалось найти из более-менее свежей литературы (после 2012 года):

1. А.И. Савельев, Научно-практический постатейный комментарий к Федеральному закону «О персональных данных», 2017 г. - 470 стр. Книга для изучения вопроса с юридической стороны.
2. А. С. Дупан (Гутникова), Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет, 2016 г. - 440 стр. Монументальное исследование, много информации о зарубежном опыте.
3. Михаил Брауде-Золотарев, Виталий Негородов, Евгения Сербина, Иван Волошкин, Персональные данные в государственных информационных ресурсах, 2016 г. - 60 стр.
4. М. Ю. Рытов, В. И. Аверченков, Т. Р. Гайнулин, Защита персональных данных в организации,  2016 г. - 124 стр.
5. Персональные данные работников организации и их защита - К.М. Саматов, 2016 г. - 90 стр.
6. Федеральный закон "О персональных данных": научно-практический комментарий. Под редакцией А.А. Приезжевой, 2015 г. – 177 стр. От коллектива Роскомнадзора.
7. Сабанов А.Г., Зыков В.Д., Мещеряков Р.В., Рылов С.П.,Шелупанов А.А., Защита персональных данных в организациях здравоохранения, 2012 г. - 206 стр.
8. Борисов М., Особенности защиты персональных данных в трудовых отношениях, 2018 г. – 224 стр.

 Бесплатные:

1. White Paper о ФЗ №152, 2018 г. - https:// www.cloud4y.ru/newsletter/Персональные_данные_WhitePaper_Cloud4Y.pdf.
2. А.С. Исаев, Е.А. Хлюпина, Правовые основы организации защиты персональных данных,  2014 г.  - https://books.ifmo.ru/file/pdf/1570.pdf.
3. Книга К. Шудрова "Персональные данные: что было, что будет, на чем сердце успокоится…", 2015 г. - https://drive.google.com/file/d/0B6P_r3uvsC07ZGhFTlZpTDBnMGc/view. Моя книга.

 А какие книги по защите персональных данных читаете Вы?

Пьер Огюст Ренуар. Читающая девочка. Источник

https://vk.com/kshudrova - подписывайтесь на официальную страницу ВК.