вторник, 25 декабря 2018 г.

Лица ИБ. Светлана Конявская

 Светлана Валерьевна Конявская
Закончила в 2000 году русское отделение филологического факультета МГУ по специальности «русский язык и литература», в 2003 защитила кандидатскую диссертацию по специальности «русский язык» (тема диссертации «Семантическая деривация в структуре числовой оппозиции существительных: pluralia tantum в истории русского языка»). С 2003 года работает в ОКБ САПР на различных должностях, с 2009 года – в должности заместителя генерального директора. С 2007 года преподает в МФТИ (ФизТех) на кафедре защиты информации ФРТК. С 2009 по 2015 преподавала в МИФИ. Также преподавала в Лицее 1535 г. Москвы, выпускала журналы «Древняя Русь. Вопросы медиевистики» (по настоящее время является членом его редколлегии), «Безопасность информационных технологий» и ряд других, а также около 20 книг. Является автором около 150 публикаций, включая 7 книг (3 монографии, 1 учебное пособие, 2 методических пособия, 1 коллективная монография) и 2 патента.

В один из вечеров муж пришел с работы со словами – я нашел потрясающую книгу. Это была «Прикладная риторика для специалистов по защите информации». Мы настолько загорелись ее поисками, что заодно изучили и Вашу биографию. Вы по-настоящему уникальный человек! С одной стороны – работа в легендарном ОКБ САПР, с другой  -кандидатская степень по филологии и выпуск журнала о Древней Руси. Думаю, читатели уже заинтригованы, поэтому давайте поскорее перейдем к вопросам.
1. Расскажите немного о том, чем занимается ОКБ САПР.

Говоря языком «пресс-релиза», ОКБ САПР занимается разработкой и производством средств защиты информации. С 1989 года, нам в апреле 30.
А если попытаться сказать так, чтобы стало понятно, зачем и в каком смысле мы занимаемся именно этим, то в основном мы исправляем различными способами ошибку великого Тьюринга.
Наверное, кому станет интересно, как именно мы это делаем, найдут, где про это почитать – мы много и охотно пишем о том, что нас занимает. Ну и я, конечно, готова с плохо скрываемым удовольствием рассказывать об этом сколь угодно долго.
2. Расскажите вкратце, что входит в Ваши обязанности как заместителя генерального директора ОКБ САПР?
Этот вопрос неизменно ставит меня в тупик, кто бы мне его ни задавал. Но недавно я прочитала в Вашем блоге интервью с Евгением Царевым, и теперь смогу за него зацепиться, чтобы немного сбить пафос со своего ответа. Он говорит там, в частности следующее: «Так вот, мой совет – никогда не идите на работу в крупную компанию. Вообще никогда. А молодом возрасте – вообще-вообще. Чем меньше компания, тем больше ваш функционал и возможности. Найдите команду по духу и вперед».
Не могу сказать, что ОКБ САПР уж очень маленькая компания. Да и возраст не то что бы уже очень молодой (я просто хорошо сохранилась), но общий принцип я поддерживаю всем сердцем – человеку свойственно хотеть делать все. А маленькая (по типу, а не по размеру, именно в смысле «не крупная») компания как раз дает возможность делать все, что хочешь (и можешь, разумеется). А все, что делаешь, в конечном итоге обязательно войдет в твои обязанности.
Если попробовать как-то все-таки формализовать этот ответ, то в большей степени в зону моей ответственности входят научно-исследовательское направление (исследования, аналитика, паблисити, технические тексты), сопровождение и техническая поддержка, управление делами (как внешними, так и внутренними). Ну и работа с кафедрой (ОКБ САПР – базовая организация кафедры защиты информации ФРТК МФТИ).
 3. Вы кандидат филологических наук, диссертация 2003 года посвящена деривации слов, эти исследования пригодились в деятельности по информационной безопасности?
Конечно, пригодились. Наука – есть наука. Ты либо умеешь ею заниматься, либо нет. Я умею, меня этому хорошо научили в МГУ и в семье (мои родители – доктора наук, я одна – позор семьи, кандидат). Благодаря этому, например, я очень хорошо вижу ошибки. И как правило понимаю их источник и их следствия, зачастую – хотя бы примерно – понимаю, как их исправлять. Это все крайне полезно в защите информации, потому что это тоже наука, хоть и еще довольно молодая (отсюда и плюсы, и минусы). И заниматься ею именно с точки зрения науки, научной методологии и приемов – представляется довольно эффективным и правильным.
4. Что натолкнуло Вас на мысли о создании книги «Прикладная риторика для специалистов по защите информации»? Тема действительно актуальная: специалистам часто сложно донести свои мысли до руководства, сложно обосновать бюджет на ИБ.
На мысли написать книгу меня натолкнуло неудобство работы без учебника )) Я сначала начала читать соответствующий курс в МФТИ, и уже потом, по его следам, написала себе в помощь учебник.
Откровенно говоря, свою задачу я вижу не совсем в том, чтобы научить обосновывать бюджет, хотя это тоже ужасно важно. Но все же лично мои задачи как преподавателя этой конкретной кафедры – вырастить разработчика. Ему нужно не столько доносить свои мысли до руководства и к чему-то его склонять, сколько точно понимать задачу, точно ставить задачу, эффективно организовывать работу команды – не только и не столько в смысле «дружно» и «как один», а так, чтобы сделано в итоге было именно то, что он задумал. Для всего этого его и нужно научить очень точно понимать свою собственную мысль, для начала, а затем – выражать ее так, чтобы его не просто поняли, но и сделали в результате именно то, что надо было. Для этого так называемым «технарям» (на самом деле, конечно, не только им) не хватает понимания буквально нескольких важных нюансов, которым мы и учимся на моем курсе.
5. Работаете ли Вы над новыми книгами по защите информации?
Сейчас нет. Я только что (вот осенью буквально) выпустила большую книгу – пособие по второму курсу, который я читаю в МФТИ – «Основы научного исследования для специалистов по защите информации». Почти 800 страниц – соединение курса лекций и хрестоматии. Думаю, на некоторое время сделаю перерыв ))
6. Когда я готовила вопросы для интервью, то поняла, что Вы прекрасно защитили информацию о себе. Все, что удалось найти: статьи и материалы выступлений. Вы осознанно бережете личную жизнь от посторонних глаз или же социальные сети просто не входят в круг ваших интересов?
А разве это не одно и то же? Хотя да, пожалуй, это все-таки разные вещи. Я не предпринимаю каких-то специальных усилий по сохранению личной жизни в тайне. Я вообще никак не связываю личную жизнь и социальные сети. Личная жизнь – она же в жизни. У меня нет страниц в социальных сетях, потому что к публичности я отношусь как к работе. Если я заведу себе что-то такое, я должна буду этим заниматься. Заниматься так, чтобы это было … несмотря на немного напрягающую модность этого слова, пожалуй, не подберу другое – так, чтобы это было эффективно. А это влечет за собой очень много разного. Но так или иначе, для меня это не будет развлечением или отдыхом, это будет работой. А целесообразности в такой форме проявления работы я не вижу. Поэтому, выходит, незачем.
Теоретически я знаю, что многие люди ко всему этому очень привязаны, но мне очень и очень хватает жизни в жизни.
7. Очень приятно наблюдать Ваши выступления, Вы опровергаете миф о том, что женщины в сфере ИБ становятся «мужеподобными». Как считаете, играет ли внешний вид специалиста важную роль? Или технарей не судят по свитерам?
Спасибо, это очень приятно.
Судят, конечно. Думаю, что свитер – это не менее «костюм» (в сценическом смысле), чем собственно костюм (или платье). Мы одеваемся тем или иным образом потому, что хотим нравиться, я не думаю, что тут есть вопрос. Вопросы только в том, кому нравиться и чем.
Совершенно логично выглядеть «своим парнем», если твоя целевая аудитория – тоже в свитерах и побаивается женщин, или думает, что человек в условном «свитере» «не боится работы», или если ты умеешь подать свитер так, чтобы целевая аудитория в костюме подумала «мне бы так носить свитер».
Главное правило риторики – если ты хочешь добиться чего-то не от себя, а от того, кто тебя слушает, приводи те аргументы, которые важны ему, а не тебе. Если хочется нравиться не какому-то одному типу людей все время, а разным – в зависимости от ситуации, то выглядеть по-разному – выгоднее, потому что это создает вместо одного эффекта сразу много разных (и в первую очередь, эффект неожиданности).
Впрочем, мне кажется, сейчас уже девочки в защите информации не так и стараются быть похожими на мальчиков. Во всяком случае, не только среди сотрудников нашей компании (она, конечно, не совсем обычная), но и среди студентов тенденция явно в сторону восстановления гендерности в своих естественных правах. Когда все в порядке с головой, зачем прятать ноги?
8. Вы считаете себя специалистом по защите информации?
Да.
9. Что бы Вы могли посоветовать молодым специалистам?
Не жалеть усилий. Общаясь на физтехе с крайне, просто неправдоподобно талантливой молодежью (страшно сочувствую преподавателям других вузов, которые жалуются на то, что студент нынче пошел не тот!), я именно это (и только это) вижу их проблемой. Если они перестанут считать затраченные силы и ныть, для них не будет решительно никаких границ.
10. Есть ли особое отношение к женщинам в отрасли ИБ?
Не знаю. У меня слишком много дополнительных обстоятельств, которые мне не позволяют быть показательным примером. Я же не только женщина, я еще гуманитарий, а еще (и, если честно, это едва ли не главное) – дочь Конявского. Что из этих обстоятельств гарантирует мне «особое отношение» в плохом смысле, а что в хорошем? Честно говоря, это не очень-то интересно, потому что в процессе жизни (а не опасений о том, как она сложится) все всегда встает на свои места.
11. В одном из Ваших выступлений на мероприятии Вы сказали, что на стенде ОКБ САПР работают специалисты-технари, а не продажники. Несомненно,  это огромное преимущество, ведь посетители выставки могут говорить с Вашими сотрудниками на одном языке. Было ли сложно подготовить специалистов к публичной работе?
Это не было каким-то разовым проектом, это постоянная часть моей работы: я все время работаю над тем, чтобы наши специалисты могли и хотели заниматься внешним общением. Но мне повезло – исторически так сложилось, что у нас этим занимались именно технические специалисты, а традиция все же значит очень много. Корнями эта традиция уходит в первые выставки на ВДНХ, где на стендах работали не просто специалисты – руководство. И не только у нас, у всех. Так было принято. Потом выставки почти умерли, потом начали возрождаться, но как-то странно формализуясь. Не представляю, зачем подходить к стенду, на котором работают модели. Они очень красивые, но что они мне могут рассказать? Они же не для этого!
Так вот где-то на этапе умирания выставок, когда толком никто не выставлялся и толком никто не посещал, я начала работать в ОКБ и постепенно набралась знаний достаточно, чтобы работать на выставках. Мне не понравилось, как это все выглядит – белые столы с приклеенными скотчем платами, скучающие мужчины «в штатском».
Я решила, что выставка должна быть представлением. И начала работать в этом направлении. А наш коллектив – он за любой кипеш, кроме голодовки, и если сделать ему прикольно, он поддержит. Поэтому у нас на стенде раскраски, стихи и комиксы, а мои программисты, тестировщики, консультанты технической поддержки, исследователи и все остальные инженеры и ученые – меня поддержали. Отчего же не поддержать то, что весело и все с восторгом хвалят. А потом почувствовали, что это правильно и полезно, потому что общение с посетителями нам очень много дает. И теперь агитационная составляющая моей работы в этом направлении практически сведена на нет, усилий требует только поддержание равномерности компетентости – специалист-то подобен флюсу, как ни крути. Во всяком случае, стремится к этому. А я ему мешаю ))
12. Вы являетесь преподавателем кафедры «Защита информации» ФРТК МФТИ. Что общего у людей, которые собираются стать специалистами по информационной безопасности? Достойная ли смена нас ждет?
Вообще говоря, вопрос довольно сложный, ведь я преподавала на КБ и в МИФИ. И с нами сотрудничают соответствующие факультеты и кафедры ВШЭ, РГГУ. И между всеми этими людьми довольно мало общего. Каждый вуз имеет свое узнаваемое лицо. Хочется думать, что в значительной степени это связано с тем, кого именно они готовят. Ведь ИБ и ЗИ – не одно и то же. Интегратор, специалист по ЗИ «на местах» и разработчик – это еще более разные феномены. Мы на физтехе готовим специалистов именно своего профиля – разработчиков. И я могу сказать уверенно, что это достойная смена, в тех случаях, когда они оказываются готовы к тому, что любимое дело важнее легких денег. Деньги с их головами можно зарабатывать куда меньшими усилиями. Но ведь ценны именно те, кто понимает, что работа должна быть любимой.
А общего у них – фантазия и романтика. Они ориентированы на хорошее, на защиту («хакеров» мы никогда не берем ни в каком качестве, перевоспитанием не занимаемся), и они готовы к тому, что, если подумать, придумать можно все. Это самое главное.
13. Какие люди на Ваш взгляд не могут работать в сфере защите информации?
Смотря кем, вообще говоря. Трусливые. Глупые. Не имеющие убеждений. Не умеющие сомневаться в авторитетах. Не гибкие. Ну а где, с другой стороны, требуются как раз такие?
14. Какие тенденции в сфере информационной безопасности Вы бы выделили? Что нас ждет через пять лет?
Я не гуру, у нас с этой ролью блестяще справляется мой папа, Валерий Аркадьевич Конявский. Его прогнозы так пугающе педантично сбываются, что другим (нашим сотрудникам, разумеется) просто не стоит себя этим утруждать.
15. Как Вам удается совмещать работу в ОКБ САПР с выпуском журнала «Древняя Русь. Вопросы медиевистики» и преподавание? Раскройте секреты личной эффективности.
Сейчас моя роль в выпуске этого журнала довольно невелика, он уже встал на гладкие рельсы и не требует в части технологии неусыпного контроля. Когда-то мы начинали его делать буквально вдвоем с мамой (Елена Леонидовна Конявская, главный редактор этого журнала, доктор филологических наук), и ученые, соглашавшиеся войти в редколлегию, делали это просто потому, что неловко отказаться. Я делала техническую редактуру, верстала, развозила тираж по киоскам (тогда еще было принято покупать бумажные журналы). Но постепенно выросла смена, сейчас я член редколлегии и оргкомитета его постоянной конференции и занимаюсь отдельными задачами по сайту журнала, так что все это не занимает особенно много времени и сил.
Кроме того, мне нравится издавать книги – совершенно невозможное чувство, когда она выходит из типографии и становится живой настоящей книгой. Я считаю, что хотя бы немножко бумажных экземпляров обязательно надо делать, держа в руках свою книгу, автор по-настоящему счастлив, даже если делает вид, что это пустяки. Так что «нет-нет да и да», я что-нибудь издаю вдруг.
А преподавание… Хотела написать, что преподавание – это счастье, но поняла, что только что написала то же самое про книги. Поэтому скажу более обобщенно: любимая работа – это счастье. Я занимаюсь только любимой работой, и это окупает все – и то, что в любой работе есть то, чего лучше бы не было, и то, что мало времени и сил (на самом деле – много. Но хочется больше). И вообще все, что может понадобиться «окупить».
Думаю, что секрет личной эффективности в том, чтобы делать то, что любишь.
16. Подскажите читателям, которые, несомненно, захотят прочитать книгу по риторике, где ее можно приобрести в бумажном или электронном виде?
Мы раздумали продавать книги, поэтому если кому-то нужно, можно просто нам написать/позвонить (воспользовавшись любым каналом связи из предложенных на нашем сайте) и получить книгу. Только если бумажную, то просим организовать самовывоз.
В электронном виде собираюсь разместить ее в Библиотеке на нашем сайте, пока что-то руки не дошли (позорище – с 2008 года не дошли, ну и ну).
А так мы раздаем ее всем желающим на выставках. Собственно, решение раздавать было принято именно по опыту выставок – сколько ни говори, что книги покупаются – их все равно тихонько уносят. И это, в общем-то, мило же. Поэтому мы решили не вводить людей в грех, а сразу отдавать даром.
17. В Ваших выступлениях Вы подчеркиваете важность повышения уровня осведомленности неспециалистов в вопросах информационной безопасности. Какие советы в области цифровой гигиены Вы могли бы дать?
Наверное, главный совет – никогда не забывать, что у всех свои задачи. Решительно у всех. Это не означает, что все кругом враги, с такими мыслями вообще невозможно жить. Однако, соглашаясь на какое бы то ни было информационное взаимодействие, нужно просто не забыть подумать, какую именно задачу Вы сейчас решаете, и какую задачу решает тот, кто Вам это предложил. И никогда не соглашаться на то, чтобы что-то происходило «само», ведь мы с детства так бьемся за то, чтобы решать за себя самостоятельно, а не делегировать решения кому-то еще. У большинства неспециалистов вполне хватит возможностей проанализировать ситуацию на предмет ее опасности, если они вообще возьмут в голову необходимость этого анализа. Приведу простейший пример из самого шумного информационного повода текущего момента – оплата по взгляду в камеру. Вы хотите сами решать, когда и что оплатить, или чтобы это решал тот встречный в метро, у которого просто есть камера? Ну вот то-то и оно. Есть много вещей, на которых можно сэкономить усилия. На волеизъявлении (во всех смыслах и сферах) – не надо.
18. Как человек, пришедший в отрасль со стороны, охарактеризуйте типичного специалиста по защите информации. Это действительно интересно! Какие мы?
Честно говоря, спустя 15 лет говорить «На мой взгляд, вы….» - было бы некоторым кокетством )) Мы, конечно, параноики. И это прекрасно, потому что в своем безумии мы говорим на одном языке. В остальном же играет огромную роль то, какого рода все же это специалист. Администратор, интегратор и разработчик – разные, я не устаю это повторять, поэтому очень важно понять, кто ты, чтобы не стараться всю жизнь делать «не то», работая, вроде как, и по специальности. Разработчики (во всем спектре этого явления – от исследователей до тестировщиков (конечно, через конструкторов, схемотехников и программистов)) – смелые. Там выше уже был один вопрос – что объединяет тех, кто решил стать таким специалистом. Собственно, эти качества характеризует нас и тогда, когда мы ими уже стали. Мы самоуверенные, смелые, бескомпромиссные и без тормозов. Красота, правда?
19. Какая у Вас любимая книга в жанре художественной литературы. Что посоветовали бы прочитать?
Ох, вот это вопрос филологу )) А можно встречный вопрос – часто человек называет конкретно одну любимую книгу? Я не представляю, как это возможно, ведь для этого надо выбирать между совершенно разными явлениями, это также невозможно, как выбрать между красным платьем / беличьей кисточкой / танцевать / баклажанами по сечуаньски…. И так далее.  Книги еще более разные, чем специалисты по ЗИ. И посоветовать прочитать что-то конкретное я могу, конечно, большинству друзей, но почти во всех случаях это будут разные книги. Хотя бы потому, что разные люди уже прочитали разный набор книг, а от этого зависит восприятие каждой следующей. Вы поставили передо мной по-настоящему нерешаемую задачу. Давайте предположим, что спросили меня лично Вы, тогда из общих соображений я Вам посоветую две любимые книги о любви – «Последний сон разума» Липскерова и «Натюрморт с дятлом» Роббинса. Возможно, знай я Вас лучше, я бы порекомендовала Вам «Ум, секс и литература» Яркевича или «Наоборот» Гюисманса. Невероятно прекрасных книг столько, что их все не перерекомендуешь.
20. Поделитесь с нами рабочими планами на 2019 год. Если не секрет, конечно.
Нисколько, охотно поделюсь. Мы сейчас придумали (и даже запатентовали) совершенно новый способ биометрической идентификации человека. Не трупа или подозреваемого, а живого и добропорядочного участника экономической деятельности. Это совершенно разные вещи, и их нельзя делать с помощью одних и тех же инструментов, это понимает любой, кто владеет научной методологией. Ну и в ближайшее время мы собираемся доводить этот научный результат до состояния промышленного продукта.
Но это, конечно, не означает, что мы забросим все остальное – сейчас в связи с мероприятиями по приведению КИИ в соответствие с ФЗ-187 (эти мантры можно не расшифровывать в этом блоге, правильно?) заметный спрос возник к одному из решений в нашей линейке защищенных микрокомпьютеров с Новой гарвардской архитектурой (тоже наш научный результат, чуть более ранний – архитектура компьютера с «вирусным иммунитетом»). Развитие этого решения ожидается основным направлением наших опытно-конструкторских работ. Вкратце там дело в том, что в него заложен механизм аппаратной адаптации под конкретное оборудование. Это самая тонкая особенность КИИ – в ней не только компьютеры и сервера, а еще много всякого – подвижные составы и станционное оборудование, банкоматы и инфокиоски, медицинское оборудование и многое-многое еще. Все это провоцирует создание «зоопарка» средств, сопровождать который безумно трудоемко, а внедрение которого требует вмешательства в оборудование, которое может стать травматичным. Наше решение в том, что в состав СЗИ входит интерфейсная плата, которая создается под то оборудование, с которым нужно скоммутировать СЗИ. В результате – СЗИ одно и то же, но за счет разных интерфейсных плат, оно способно работать с тем, с чем нужно, без его (этого «что нужно») доработки. Большие КИИ уже оценили плюсы, и, судя по всему, это только начало.
21. Пожелайте нашим читателям чего-нибудь хорошего в наступающем году!
Думаю, после всех моих ответов уже более чем очевидно, что я считаю «хорошим»! Я вам желаю, чтобы то, на что вы тратите все свое время, приносило такое удовольствие, чтобы времени было не жалко. И еще я желаю вам гордиться – тем, что вы делаете, теми, кто вас окружает, и, конечно, своими детьми и родителями. Если этого еще не происходит – то самое время начать. А если происходит – держите это крепко.
Спасибо за интервью!

Вот такие интересные личности работают в сфере информационные безопасности! Мне было очень приятно познакомиться со Светланой, большое спасибо ей за сотрудничество! Проект "Лица ИБ" будет развиваться и впереди нас с Вами ждут новые знакомства! С наступающим Новым годом, друзья!

Фотографии предоставлены С.В. Конявской.
  
 Другие Лица ИБ:


Подписывайтесь на страницу ВК: https://vk.com/kshudrova

четверг, 13 декабря 2018 г.

Кто, что, когда и зачем? Разбираемся со сроками из ФЗ "О персональных данных"

Добрый день, дорогие читатели! Предлагаю вашему вниманию шпаргалку со сроками из ФЗ "О персональных данных". Когда блокировать, за сколько дней уведомить Роскомнадзор об изменениях и т.д.

КТО?
КОМУ?
ЧТО ДЕЛАЕТ?
КОГДА?
ЗАЧЕМ?
Субъект ПДн
Оператору
повторный запрос на получение информации, касающейся обработки его ПДн
не менее 30 дней после первоначального обращения
п. 4 ст. 14
Оператор
Субъекту ПДн
рассмотрение возражения против принятия решений на основании исключительно автоматизированной обработки
не более 30 дней после получения возражения
п. 4 ст. 16
Оператор
Субъекту ПДн
сообщение информации о наличии его ПДн и предоставление возможности ознакомления с ПДн
не более 30 дней после получения запроса
п. 1 ст. 20
Оператор
Субъекту ПДн
предоставление информации о причинах отказа в предоставлении информации о наличии ПДн или ПДн при получении запроса
не более 30 дней со дня обращения
п. 2 ст. 20
Оператор
Субъекту ПДн
внесение изменений в неполные, неточные или неактуальные персональные данные
не более 7 рабочих дней со дня предоставления сведений
п. 3 ст. 20
Оператор
Субъекту ПДн
уничтожение незаконно полученных или избыточных ПДн с уведомлением о внесенных изменениях и предпринятых мерах, уведомление третьих лиц, которым ПДн были переданы
не более 7 рабочих дней со дня предоставления сведений
п. 3 ст. 20
Оператор
Роскомнадзор
сообщение по запросу необходимой информации
не более 30 дней с даты получения такого запроса.
п. 4, ст. 20
Оператор
Субъекту ПДн или Роскомнадзору
блокирование неправомерно обрабатываемых и неточных ПДн
с момента обращения или получения указанного запроса на период проверки

Оператор
Субъекту ПДн или Роскомнадзору
уточнение ПДн и снятие блокирования персональных данных
не более 7 рабочих дней со дня представления сведений
п. 2, ст. 21
Оператор
Субъекту ПДн или Роскомнадзору
прекращение неправомерной обработки ПДн и сообщение о принятых мерах
не более 3 рабочих дней с даты выявления
п. 3, ст. 21
Оператор
Субъекту ПДн или Роскомнадзору
уничтожение неправомерно обрабатываемых ПДн и сообщение о принятых мерах
не более 10 рабочих дней с даты выявления неправомерной обработки персональных данных
п. 3, ст. 21
Оператор
Субъекту ПДн
прекращение обработки ПДн по достижении цели обработки и уничтожение ПДн
не более 30 дней с даты достижения цели обработки персональных данных
п. 4, ст. 21
Оператор
Субъекту ПДн
прекращение обработки ПДн в случае отзыва согласия и их уничтожение
не более 30 дней с даты поступления
п. 5, ст. 21
Роскомнадзор
Оператору
внесение сведений в реестр операторов

не более 30 дней с даты поступления уведомления об обработке персональных данных
п. 4 ст. 22
Оператор
Роскомнадзору
внесение изменений в уведомление об обработке ПДн

не более 10 рабочих дней с даты возникновения таких изменений
п. 7 ст. 22


Присоединяйтесь к группе блога ВК: https://vk.com/kshudrova

пятница, 23 ноября 2018 г.

Лица ИБ. Евгений Царев

Добрый день, дорогие читатели! Сегодня я хотела бы поделиться с вами интервью с экспертом в области информационной безопасности - Евгением Царевым. Евгений занимается в основном судебной и досудебной экспертизой в области ИБ, ведет курсы, пишет статьи, а также является выпускником легендарного ТУСУРа. Поэтому предлагаю без лишних предисловий приступить к чтению :)


Царев Евгений Олегович

Аудитор, внедренец и сертифицированный тренер по Стандарту Банка России в области информационной безопасности, аудитор и тренер по ISO/IEC 27001. Автор многочисленных курсов по информационной безопасности. Публикуется в СМИ, ведет блог - https://www.tsarev.biz.
Образование:
·         2009 — 2011 MBA, Академия народного хозяйства при Правительстве РФ (АНХ), Инновационное управление.
·         2001 — 2006 Томский государственный Университет Систем Управления и Радиоэлектроники, радиотехнический факультет,
·         2003 — 2005 Томский государственный Университет Систем Управления и Радиоэлектроники, Антикризисное управление.
·         2015 — Профессиональная переподготовка «Информационная безопасность» (512 часов).



1. RTM Group – уникальная организация в сфере компьютерного права. Можешь рассказать, как она создавалась?
Как это часто бывает, через сарафанное радио ко мне обратились с просьбой сделать исследование по тематике банковской ИБ. Задача была очень узкая, не могли найти эксперта в экспертных организациях. Сделал. Суд принял. Потом второй запрос, третий… Познакомился с коллегами, которые занимаются компьютерно-техническими экспертизами по 10-20 лет. Узнал много нового. Если обобщить, существующая система компьютерно-технических экспертиз не покрывает потребности судебной системы. Я не занимаюсь уголовными делами, поэтому говорю только про гражданские, это важно уточнить. Так вот, представьте, что судье арбитражного суда приносят дело, в нем есть договор, по нему одна компания разрабатывала какое-нибудь ПО для другой компании, но им не заплатили. Они хотят оплату. Заказчик говорит, что ничего не работает, поэтому платить не будем. И это еще не все. В ходе разбирательства, суд устанавливает, что установку и настройку этого ПО делала третья компания, а четвертой компании передали все это дело на техподдержку. И что делать суду? Как разобраться в таком деле? Как понять, кто виноват? В первую очередь нужна экспертиза. Ок, но это не компьютерно-техническая экспертиза! Здесь помимо самого ПО, суду нужно еще и исследование и оценка проектной документации, технической переписки… суду может потребоваться проведение тестирования… оценить корректность интеграции… получить заключение о соответствии требованиями регулирующих органов, например, ФСТЭК России, или ГОСТам. И куча чего еще. Дела-то разные и потребности суда могут быть разными. У всех этих потребностей есть только один общий признак – область ИТ на стыке с правом. Экспертные организации, как правило, занимаются огромным количеством различных экспертиз: автотехнические, почерковедческие, бухгалтерские, экологические, искусствоведческие и прочее. Для них компьютерно-техническая экспертиза это одна из десятка услуг и ими занимается несколько человек, которых бросают из одной узкой темы в другую. Невозможно быть экспертом во всем, и эти пара человек, какими бы умными они ни были – они не знают всего и не могут делать на высоком уровне все экспертизы подряд, в которых встречается слово «компьютер» или «информационная». Как результат, качество экспертиз «в среднем по больнице» очень низкое – это раз. Суды не получают нужную услугу – это два.
Небольшой экспертной группой мы сформулировали экспертные профили. Т.е. для самих себя ответили на вопрос, какой нужен под конкретную экспертизу. А теперь все просто, как только поступает запрос, мы смотрим в профиль и выбираем нужного эксперта. Если требуется сразу несколько профилей – готовим письмо на комиссионную экспертизу (несколько экспертов в одной экспертизе).
Так появился RTM TECHNOLOGIES.
Сегодня мы оформились как RTM Group. Т.е. теперь мы работаем группой компаний. Если коротко, помимо решения экспертных задач у нас теперь есть профессиональные юристы-судебники, которые подготовлены к ведению ИТ-дел.
Фактически RTM Group – это единственная структура в России, которая занимается судебными ИТ-экспертизами и одновременно может вести судебные дела. Естественно, применительно в одному делу - либо одно, либо второе.
2. Как проводятся судебные экспертизы в сфере ИБ, в чем их специфика?
Чисто процессуально никакой разницы нет. Кроме крайней желательности наличия лицензий ФСТЭК и ФСБ. Суды больше доверяют компаниям с лицензиями, если вопрос касается ИБ.
Главная специфика – это регуляция. И для суда и для юристов, которые представляют интересы сторон по делу, иногда открытие, что есть руководящие документы, что вопросы, связанные с криптографией – вообще отдельная история. Что даже, казалось бы, простой вопрос превращается в основной элемент разбирательства.
У меня было дело, которое длилось 3 года. Центральной темой спора был вопрос обязательности исполнения банком СТО БР ИББС. Естественно, СТО БР ИББС – рекомендательный, пока нет решения самого банка принять его для себя в качестве обязательного. Вот видишь, я уложил объяснение этого вопроса в 1 предложение, но благодаря целому ряду ошибок в работе представителей сторон по делу, этот спор длился много лет.
Это кстати отдельная проблема, корпоративные юристы часто очень боятся, что их подсидят, как-то пододвинут, если к делу подключится ИТ-юрист со стороны. Поэтому они без понимания проблемы идут в суд и успешно проигрывают 100% выигрышные споры.
3. Какие организации чаще обращаются? Я имею ввиду отрасль – банки, нефтегазовый сектор, сфера ЖКХ.
Все. Вообще все. Последний год стало много экспертиз в делах, где коммерческие компании судятся с госзаказчиками.
4. Расскажи забавный случай из судебной практики.
У нас был очень долгий и сложный процесс, в нем я был представителем клиента -юридического лица, у которого компьютерные жулики украли весьма крупную сумму. Мой клиент судился с банком, который, такое ощущение, делал все возможное, чтобы деньги клиента были похищены. Представитель банка активно пытался нас дискредитировать, лично меня пытался обвинить в некомпетентности – это нормальная практика в судах, некоторые представители противной стороны пытаются очернить оппонента, таковы многовековые традиции)).
Пару лет назад мы выпустили исследование с анализом судебной практики по спорам между банками и клиентами из-за хищений в системах Интернет-банка https://rtmtech.ru/issledovaniya/ . Так вот, в какой-то момент очередного заседания этот товарищ встает и просит приобщить к материалам дела мое исследование со словами, что есть такие крутые специалисты и эксперты, которые глубоко разбираются в теме и вот написали исследование, в котором клиенты часто проигрывают судебные дела. Он просто не знал, что этих «крутых» экспертов он минутой раньше называл некомпетентными людьми.
Судья еле сдерживался от смеха когда, на вопрос возражаем ли мы против приобщения этого исследования к материалам дела, наш юрист встал и сказал, что оно не имеет отношение к делу, а на вопрос откуда мы знаем его содержание, уже я встал и сказал, что это мое исследование.   
5. За какое дело в суде испытываешь особую гордость?
Пока не могу говорить, оно еще идет, но мы всей командой испытываем гордость за ту работу, которую провели.
6. Часто ли привлекают для проведения служебных проверок?
Регулярно. У нас ими занимаются отдельные сотрудники. Как правило, нас приглашают для правильного оформления доказательств. Судебная практика по трудовым спорам такова, что чтобы уволить по статье откровенного жулика, нужно хорошо поработать.
7. Можешь рассказать интересный случай из этой области, понятно, что информация конфиденциальная, в общих чертах.
Было дело, где один из ТОПов обладая несколькими токенами (своими и чужими) продал имущество компании на девятизначную сумму. Все бы хорошо, да только о сделке никто кроме него не знал. Банальное воровство с бегством на теплые берега.
8. Легко ли уволить сотрудника за нарушение в сфере ИБ?
За последние годы стало проще в разы. Главное доказать, что это нарушение действительно значимо для компании, что отправка, например, данных клиента третьему лицу опасна для клиента и для компании. Все это нужно мотивировать, но если коротко, то требования по ИБ лучше не нарушать, даже если это нужно, как вам кажется, для бизнеса компании.
9. Что можно сказать о регионах? Консультируются?
Вы удивитесь, но у нас основная масса экспертиз – это регионы. Основная масса процессов и проектов – тоже регионы.
10. Сложно ли стать сертифицированным тренером по стандарту Банка России в области информационной безопасности?
Сложно). Для меня банковская нормативная регуляция ИБ долгое время была профилем. Мне нравится работать с банками.
Сейчас стандарт теряет актуальность, сейчас на первый план выходит тема ГОСТ Р 57580.Х «Безопасность финансовых операций». Думаю сюда нужно прикладывать силы.
11. Ты проводишь различные курсы по информационной безопасности. Кто приходит на них, тяжело ли учить взрослых людей? Есть желание работать со студентами?
Моя принципиальная позиция, что преподавательская работа – обязательна для эксперта. Она неразрывно связана с экспертной деятельностью и дополняет ее.
Мне одинаково комфортно работать со студентами и со взрослыми, состоявшимися людьми.
На молодежь я смотрю с упоением. Серьезно. Вспоминая себя в 18 лет и сравнивая с теми, кому сейчас 18, делаю вывод, что они лучше нас, они интереснее, они умнее. При этом они совершают много ошибок, например в планировании карьеры.
Взрослые слушатели мне интереснее тем, что я сам у них учусь. Это не преподавание, когда есть один умный и остальные дураки, это общение коллег. Плюс взрослый человек, на то он и взрослый, берет их курса то, что хочет, если что-то не берет – это его дело.
12. У тебя огромное количество публикаций, есть ли любимые темы? Темы, на которые писать совсем не хочется?
Я ненавижу тему персональных данных. Остальное – все хорошо.
13. Ты ведешь блог с 2009 года, сложно ли заниматься блогингом в течение такого продолжительного времени? Что изменилось в блогосфере? Почему так редко появляются новые блогеры?
Сейчас я фактически ничего не пишу в блоге. Только даю короткие комментарии по текущим новостям. Мне такой формат удобнее, плюс аудитория уходит из формата блогов и распределяется на другие формы контента.
14. Кого читаешь?
Всех и никого). Мне готовят ежедневные подборки контента за сутки. У меня есть критерии важности, поэтому я читаю 5-10 заметок в день.
15. В работе часто требуется находить судебные решения. Где можно черпать информацию? На что обращать внимание в судебном решении?
Есть разные аналитические системы: Гарант, Консультант, Caselook. У каждой есть свои плюсы и минусы. К слову нет идеального инструмента для анализа судебной практики. Это просто беда какая-то. Судебные решения я читаю часто, поэтому знаю, куда смотреть, если нужно что-то конкретное. Например, если тебе важно понять логику судов в конкретных делах, после первичного отбора решений, а их может быть, например, 200, я смотрю название суда, решение, мотивационную часть и статьи. И так 200 раз в таком порядке. После первой сотни решений логика вырисовывает четко. Тем более, что можно сколько угодно говорить про непрецедентное право в России, но судьи часто списывают друг у друга)))
16. В прошлом году мы разминулись на paymentsecurity, много ли мероприятий по ИБ посещаешь? Посоветуй начинающим специалистам - как выбрать стоящее?
В этом году я на мероприятия совсем редко ходил, только если доклад был или нужно было встретиться сразу с несколькими людьми в одном месте. Если говорить про начинающих, то можно ходить на технические конференции вроде PHDays или не ходить на конференции вовсе. Не тратьте время. Делайте собственные исследования, пишите софт, проектируйте железо, придумывайте методики – все что угодно. Работы море. Ищите стажировки. Особенно для Москвы – это вовсе не проблема. Выше я говорил, что молодые люди совершают много ошибок в планировании карьеры. Так вот, мой совет – никогда не идите на работу в крупную компанию. Вообще никогда. А молодом возрасте – вообще-вообще. Чем меньше компания, тем больше ваш функционал и возможности. Найдите команду по духу и вперед. 
17. Любимая художественная книга?
Скажу не художественную и не любимую. Просто книга, которую советую всем прочитать: «Теория игр. Искусство стратегического мышления в бизнесе и жизни»
18. На мой взгляд, отрасль переживает период подъема. А как ты считаешь, к чему стремится ИБ в России?
А я считаю, что ИБ как отрасль прекратила свое существование)). Если серьезно, то ИБ переходит в форму функционала безопасности. Не той безопасности, где кредиты и судимости сотрудников ищут. А безопасность всей этой компьютерной магии.
Никому не нужна безопасность системы – нужна безопасная система.
Никому не нужна защита информации – нужна защищенная информация.
Т.е. это функционал какого-то более крупного процесса. Соответственно нас размоет по всей экономике.
19. Нужно ли специалисту по ИБ быть немного юристом или системным администратором, программистом? Нужны ли универсальные солдаты?
Не всем специалистам нужно быть универсальными. Например, экспертам-судебникам, да, обязательно нужен широкий профессиональный кругозор. А если человек разработчик хороший и ему это нравится, зачем ему арбитражно-процессуальный кодекс?
20. Что можно посоветовать молодым специалистам?
Ведите свои исследования, свои проекты и никогда не работайте в крупных компаниях.
Первые годы профессиональной деятельности нужно работать на нужном ВАМ месте и за любые деньги, даже бесплатно. Даже если придётся самим за это приплачивать - соглашайтесь)). Я серьезно. Тот кто будет работать в правильном месте, за любые деньги и будет работать хотя бы по 10-12 часов в сутки, тот через 3 года будет супер-профессионалом, опытным и, главное молодым, чтобы успеть реализовать себя.
21. Если не ИБ, то какая работа заинтересовала бы?
Я недавно спросил себя, что бы я делал, будь у меня неограниченное количество денег. Ответ был – тоже самое.
22. Расскажи, немного о планах на будущее.
Продолжать двигаться дальше. 

Вот такое интересное интервью получилось. Спасибо Евгению за уделенное время и содержательные ответы!
Хороших выходных!

Другие Лица ИБ:
Наталья Храмцовская
Владимир Безмалый
Сергей Борисов
Мария Сидорова

Подписывайтесь на страницу ВК: https://vk.com/kshudrova