пятница, 17 января 2020 г.

Лица ИБ. Константин Саматов


Константин Саматов
"Работаю в сфере безопасности с 2003 года, с 2011 года на руководящих должностях. Основными направлениями моей работы являлись экономическая безопасность и противодействие коррупции, кадровая безопасность, инженерно-техническая защита объектов, информационно-аналитическая деятельность, информационная безопасность, управление проектами.

Параллельно с основной работой занимаюсь подготовкой кадров в УрГЭУ и
УРТК им. А.С. Попова, также веду одно и двухдневные семинары по собственным (авторским) программам в учебном центре IT CLOUD.
С 2016 года член АРСИБ (Ассоциация руководителей служб информационной безопасности), с 2019 года - член Правления АРСИБ.
У меня два высших образования: экономическое и юридическое, степень МВА со специализацией "Управление безопасностью бизнеса", профессиональная переподготовка по информационной безопасности."

Добрый день, Константин! Я зашла на ваш сайт и просто потерялась: сколько всего хочется спросить у человека с таким богатым опытом в сфере безопасности! Мне кажется, ваших трудовых достижений хватило бы на несколько хороших специалистов! И, что особенно ценно лично для меня, вы представляете собой отличный пример успешной карьеры в регионе. Думаю, что многих читателей вдохновит интервью со специалистом из Екатеринбурга, к тому же такого города в Лицах ИБ еще не было. Давайте начнем наше интервью.


1.      Кто вы по первому образованию? Пригодились ли вам знания, полученные в ВУЗе?
Моя квалификация по первому образованию – «учитель экономики». Знания, полученные в ВУЗе, бесспорно, пригодились мне и в процессе работы в сфере экономической безопасности и в текущей деятельности тоже, т.к. обеспечение безопасности деятельности организации во многом базируется на оценке рисков и эффективности (в т.ч. финансовой) мероприятий по их нейтрализации. Кстати, первый диплом я как раз писал по тематике минимизации предпринимательских рисков.

2.      Что ценного дало вам второе образование? Стоит ли получать несколько специальностей для работы в сфере безопасности или достаточно одного профильного/юридического/технического?
Второе (юридическое) образование было формальным, я получал его уже имея неплохой бэкграунд в сфере юриспруденции: опыт оперативно-розыскной деятельности, опыт представительства в судах и пр. Что касается вопроса получения дополнительных специальностей, то он, пожалуй, не привязан к какой-то определенной сфере деятельности и больше зависит от жизненных целей. Речь идет о том, что если есть желание постоянно развиваться и совершенствоваться в чем-то, то нужны разносторонние знания и необходимо постоянное обучение, повышение своей квалификации.

3.      Как получить степень MBA? Кому она может пригодиться?
Степень МВА пригодится тем, кто работает на управленческих должностях или занимается предпринимательской деятельностью (имеет собственный бизнес). Получить указанную степень в настоящее время не сложно, имеется достаточно большое количество учебных заведений, осуществляющих обучение по указанной программе, есть очный и дистанционный форматы. Трудности дистанционной формы обучения, которые отмечают многие, в самодисциплине: не у всех она есть и поэтому многим не удается довести начатое до конца. Обе программы которые я освоил (miniMBA и MBA General) были дистанционными.

4.      Есть ли у вас в планах написание кандидатской диссертации?
Да. Такие планы есть. Кандидатские экзамены у меня сданы, так что остается только подготовка и защита диссертации.

5.      Здорово, успешной защиты! У вас написано множество интересных, а главное полезных книг: про персональные данные, КИИ, мобильные технологии, даже про личную информационную безопасность. Какую книгу написать было тяжелее всего? Какая книга самая любимая?

Безопасность мобильных технологий не моя книга, я лишь выступал членом редакционной коллегии при ее подготовке. Точно также брошюры по личной безопасности, я лишь автор кейсов, рисунки и конечное оформление делали другие люди. Самой сложной было написание пособия по КИИ, т.к. эта тем новая и никому особо не знакомая, однако в рамках подготовки была сформирована рабочая группа при АРСИБ, возглавить которую мне и предложили. Эта монография является и самой любимой и востребованной (особенно второе издание). Последнее время на вопросы по тематике КИИ я даже часто говорю вот методичка – смотрите такой-то параграф. Следует отметить, что версия 2.0 («Безопасность объектов критической информационной инфраструктуры организации») не является окончательной, в планах продолжение выпуска обновленных версий данной методички, с какой периодичностью – пока не знаю.

6.      Вы выступаете как самостоятельный писатель, так и как соавтор. Сложно ли организовать совместную работу?
Немного сложнее чем свою – да. Но, в целом, я особых трудностей в организации не наблюдал.

7.      Ваша любимая книга из художественной литературы?
Александр Дюма «Граф Монте Кристо», ну и вообще классическую литературу люблю: опять же Дюма, Конан Дойль, Тургенев, Пушкин. Правда, к сожалению, последний раз читал художественную книгу, наверное, лет 10 назад.

8.      Что бы вы посоветовали почитать начинающему автору? Как научиться писать тексты?
Как ни странно, но для меня этот вопрос сложный, потому что не было особых проблем никогда. Многие мои еще университетские работы (курсовые, дипломные) занимали 1-3 места на олимпиадах. Но, чтобы дать ответ по существу, скажу, что в аналитическом центре, где я в текущий момент работаю, коллеги очень любят книгу Ильяхова Максима и Сарычевой Людмилы «Пиши, сокращай. Как создавать сильный текст».

9.      Надо будет обазятально прочитать! Расскажите про АРСИБ: что это за организация такая, как в нее вступить, какие преимущества дает членство? Чем занимается АРСИБ на Урале?
АРСИБ – это Ассоциация руководителей служб информационной безопасности, т.е. организация, объединяющая профессионалов, занятых в сфере информационной безопасности. Основной целью ее деятельности является содействие в развитии информационного общества, обеспечении безопасности процессов его сопровождающих. На практике это выражается во взаимодействии с государственными институтами и оказании им экспертной помощи в поиске ответов на концептуальных вопросы, подготовке методических рекомендаций по реализации требований законодательства или best practices по информационной безопасности (пример – методички по безопасности КИИ и безопасности мобильных технологий), проведении публичных мероприятий для обсуждения наболевших вопросов в сфере информационной безопасности (пример – серия конференций под брендом «БИТ»), формировании круга общения между специалистами (экспертами) практиками и помощь коллегам «по цеху» (консультативная прежде всего).
Как вступить? Достаточно просто. Нужно подготовить заявление и анкету, затем правление ассоциации ее рассмотрит и, если кандидат соответствует требованиям (они изложены в уставных документах и есть на сайте АРСИБа – aciso.ru), то он будет принят. Говоря про мой опыт вступления – все было, на мой взгляд, очень просто и быстро: в 2016 году я получил приглашение (в качестве участника) на конференцию БИТ Урал, увидел что ее организует АРСИБ, нашел на сайте раздел как вступить, заполнил необходимые документы и отправил по указанном на сайте электронному адресу. Результат – на конференции БИТ Урал 2016 я уже выступал в качестве спикера – члена АРСИБ.
На Урале мы стараемся развивать т.н. «клубное движение» специалистов в сфере информационной безопасности. Проще говоря, стараемся поддерживать более тесные отношения со специалистами в сфере информационной безопасности, обмениваться мнениями, помогать в решении текущих проблемных вопросов.

10.  Что вы делаете как член правления?

Правление, по сути, это орган управления ассоциацией, а соответственно его участники (члены) управляют, т.е. принимают решения по вопросам ее деятельности и обеспечивают их реализацию, например принятие решений о выпуске методического пособия, создании комитета, принятии в ассоциацию нового члена и т.п.

11.  Есть ли в Екатеринбурге сообщество специалистов по безопасности?
Да. Есть сообщество специалистов по корпоративной безопасности - Некоммерческое партнерство «Союз руководителей служб безопасности Урала», мы давно дружим с основателем данной некоммерческой организации – Константином Сергеевым, активным общественным деятелем, преподавателем УрГЭУ, директором по безопасности торговой сети «Монетка».
Также сейчас есть в планах создать региональное отделение АРСИБ по Уральскому федеральному округу.

12.  Успеха в этом начинании! Расскажите о своем опыте работы в территориальном фонде обязательного медицинского страхования. В чем специфика обеспечения безопасности в этой сфере?

Специфика обеспечения безопасности в данном учреждении заключается в следующем:
1.      Информационные ресурсы содержат информацию практически обо все жителях территории, причем эта информация достаточно критичная: есть как данные о человеке (паспортные данные, контактны данные), так и сведения о его здоровье. Таким образом, по сути, мы имеем в качестве объектов защиты информационные системы, содержащие огромный объем специальных категорий персональных данных, нарушение безопасности которых может быть очень критично.

2.      Подразделение информационной безопасности практически равно «служба безопасности» (по крайней мере в моем случае было именно так, хотя у каждого территориального фонда есть своя специфика), т.е. в круг обязанностей помимо «классической» информационной безопасности также входила инженерно-техническая безопасность, кадровая безопасность, противодействие коррупции (это государственное учреждение, с бюджетными деньгам), анализ и согласование государственных контрактов. Единственное, чем мы практически не занимались – это проверкой контрагентов (классика экономической безопасности), т.к. все закупки шли по механизму государственных закупок, а это значит, что при нарушении обязательств по контракту контрагентом, он попадает в «реестр недобросовестных поставщиков» и, следовательно, теряет возможность в них участвовать. Помимо этого, все контракты предусматривали постоплату, т.е. работы (услуги) должны быть сначала выполнены, товары поставлены и приняты, прежде чем организация их оплатит. Как видно, при такой схеме риски минимальны.

13.  Полезный и интересный опыт! Расскажите, чем вы занимаетесь на текущем месте работы в аналитическом центре?
В основном работой по проектам, связанным с обеспечением информационной безопасности заказчиков нашей компании. В основном это проекты по защите персональных данных, безопасности критической информационной инфраструктуры, проведение комплаенс аудита. Последние полгода еще добавились вопросы, связанные с центрами мониторинга и реагирования на инциденты информационной безопасности, т.н. SOC (Security Operation Center).
Также большой пласт работы связан с управление персоналом (подчиненными работникам), развитием их компетенций. Это, кстати, во многом приятное занятие, когда ты видишь, что у тебя на входе работник не владеющей экспертизой в каком-то направлении, которое у тебя хорошо развито (например, защита персональных данных), а на выходе (через 3-6 месяцев) специалист, обладающий хорошей экспертизой в этом вопросе.

14.  Большой пласт вашей работы был связан с кадровой безопасностью. Можете рассказать какой-нибудь интересный случай из практики?

Да, был интересный случай, связанный с утечкой одного из документов организации и попаданием его в средства массовой информации. Подробно я рассказываю его в своем видеокурсе по коммерческой тайне, который есть в свободном доступе в сети Интернет. Интересен он нестандартным, быстрым и эффективным поиском сотрудника, совершившего данное деяние, а еще тем, что я тогда был в отпуске (а это бывает очень редко) и мои сотрудники (подчиненные) нашли решение и выявили «крота» всего за 2 часа.

15.  А смешные ситуации бывали?
Смешные ситуации бывали в годы службы, например, подготовишь справку об оперативной обстановке, принесешь начальнику (службы экономической безопасности), а он везде тебе вместо «член ОПГ» (ОПГ – организованная преступная группа), напишет «участник ОПГ», а еще мог наложить на справке резолюцию (правда у меня не разу такой не было): «Х..я переделать» и подпись-дата. Так что это не байка. Конечно, на самом деле бывали и другие, но не о всем я могу рассказывать.

16.  У вас большой практический опыт – целых 17 лет! Вы могли бы представить себя на другой работе? Если не безопасностью, то чем бы вы занимались?

Подготовкой кадров, развитием человеческого потенциала. Собственно, я и сейчас этим занимаюсь, больше как хобби конечно. Еще много лет назад у меня появилась мысль о том, что если бы в процессе обучения студентов принимали участие реальные практики и умели сочетать подачу теоретического материала со своим опытом, то на выходе мы бы получали гораздо более квалифицированных и адаптированных к работе в реальном секторе экономики специалистов. Вот с 2014 года и занимаюсь реализацией этой идеи.

17.  Полностью с вами согласна, практики студентам часто не хватает. Сложно ли построить карьеру в регионе?
Наверное, немного сложнее чем в Москве, ну и зависит от региона, конечно. Есть динамично развивающиеся регионы, Екатеринбург тому пример, где много компаний, нуждающихся в хороших кадрах и есть определенный уровень миграции рабочей силы внутри региона, поэтому потребности на рынке существуют и обладающие хорошими скиллами профессионалы всегда востребованы. Есть регионы с низким потенциалом развития, где рынок труда обладает меньшей динамикой, там строить карьеру сложнее, т.к. новых рабочих мест меньше.
Есть правда у меня предположение, что в ближайшем будущем произойдет значительный всплеск спроса на специалистов по информационной безопасности в большинстве секторов и регионов. Ведь, если речь зашла о цифровой экономике, то это значит, что большинство активов компаний (в том числе и тех, которые необходимо защищать) имеют информационную составляющую.

18.  Я тоже очень на это надеюсь! Какими качествами должен обладать «настоящий» специалист по безопасности?

Самое важное для специалиста по безопасности – это лояльность к тому «что» или «кого» он защищает: если это государство, то стране, если это компания – то ее руководству и собственниками. В противном случае специалист по безопасности не сможет полноценно выполнять данную функцию. Ведь не зря в государственные службы безопасности (спецслужбы) не берут иностранных граждан. Кстати, именно поэтому, в сфере безопасности, широко распространен подход (многим кажущийся обидным), когда руководителя СБ выбирают прежде всего в силу личной предрасположенности (хороших отношений), нежели его профессиональных качеств.

19.  Вы работаете преподавателем сразу в двух учебных заведениях. Какие дисциплины ведете?
Да. Мне посчастливилось работать как в среднем специальном учебном заведении (Уральском радиотехническом колледже имени А.С. Попова), так и в высшем учебном заведении (Уральском государственном экономической университете). В колледже я преподаю инженерно-технические средства обеспечения информационной безопасности (но, по сути, больше сосредотачиваюсь на инженерно-технической безопасности компаний), а в университете преподаю техническую защиту информации, управление информационной безопасностью, а также построение и проектирование информационно-аналитических систем.

20.  Чему преподаватель может научить студентов?
В идеале своему практическому опыту. У меня в начале педагогической карьеры даже байка была для студентов, что я ни одну книгу по информационной безопасности не прочитал, но одну уже написал (это книга «Персональные данные работников организации и их защита»), потом правда появилась «Безопасность мобильных технологий в корпоративном секторе», которую я прочитал в процессе редактирования (автор не я, а член АРСИБ Александр Першин) и с тех пор я студентам больше так не говорю.

21.  Чем вы занимаетесь в свободное время? Как отдыхаете от работы?
Самообразованием и самообучением. Прокачиваю свои навыки по «проблемным» направлениям (то, в чем я плохо разбираюсь) в основном путем чтения книг или просмотра видеокурсов. Например, последнее время изучаю OSINT (Open source intelligence), на практике более известная как «Конкурентная разведка», хотя это более широкое понятие, включающее в себя OSINT.
Ну и много общаюсь с друзьями, подругами, коллегами, на различные (как связанные с информационной безопасностью, так и не связанные с ней) тематики.

22.  Как вы все успеваете? Поделитесь с читателями своим секретом. Как организовать свой день, чтобы быть эффективным?
Много методик по тайм менеджменты я узнал в процессе освоения программ МВА (miniMBA и MBA General). Но основных инструментов в плане управления временем, пожалуй, два:
·        Хронометраж и оценка своего времени, осознание того, куда оно тратится – бесцельно лежа на диване или для достижения какой-либо полезной цели.
·        Матрица Эйзенхауэра – инструмент по управлению временем состоящий из четырех квадратов определяющих срочность и важность текущих дел. В моей записной книжке OneNote вся неделя разбита на такие ежедневные матрицы.
Основная цель, чтобы большинство задач, которые вы решаете была в желтом квадрате – важные, но не срочные. В таком режиме получается спокойно (без авралов) решать текущие задачи и достигать намеченных целей. Если постоянно заполнен красный квадрат – значит следует обратить внимание на качество своего планирования, в этот квадрат, обычно, попадают те дела, которые не были запланированы своевременно.

23.  Ценные советы, спасибо. Будем применять! Расскажите о планах на будущее. Над какими проектами работаете?
Планов много. Некоторые мы уже затронули. Вообще, текущий 2020 год начал как раз с планирования (по методу Пирамиды Франклина): составил планы на 20, 10, 5 лет, 3 года, 1 год, 1 квартал текущего года. Если говорить про планы в сфере информационной безопасности, то в этом году планирую написать книгу посвященную вопросам менеджмента в сфере информационной безопасности, постараться отразить в ней свой (пусть и небольшой) опыт, начать подготовку кандидатской диссертации (как раз в сфере управления информационной безопасностью).

24.  Что бы вы посоветовали начинающим специалистам?
Основное – это быть готовым постоянно обучаться. Не страшно, что у вас нет опыта, если вы готовы работать и осваивать свою профессию, учиться в ходе этого процесса, извлекать уроки из своих ошибок, очень быстро вы станете настоящим профессионалом. Приведу пример, пришла как-то ко мне в направление на собеседование одна студентка 4 курса. Было понятно, что опыта и знаний у нее ноль. Я ее тогда спросил: ты готова постоянно обучаться, она ответила, что готова. В итоге, через год из нее вырос очень квалифицированный аналитик, способный выполнять задачи по достаточно сложным проектам и достигать необходимых результатов. Кстати, один из авторитетных журналов по информационной безопасности недавно даже стал публиковать обзоры законодательства, которые она готовит в свободное от проектной деятельности время.

Большое спасибо за интервью, Константин!

Источник фотографий: личная страница Константина Саматова на Facebook.
Сайт Константина Саматова.

 Другие Лица ИБ:
Евгений Царёв

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

четверг, 9 января 2020 г.

Запись вебинара и полезные ссылки

Добрый вечер, коллеги! Сегодня я хочу поделиться с вами записью предновогоднего вебинара с Сергеем Борисовым. Сергей также разместил пост о вебинаре. Не буду дублировать информацию и перейду сразу к делу. Ниже запись, а также полезные ссылки, о которых мы упоминаем по ходу дела.
Запись.


1.      Кого назначить ответственным?
2.      Реестр операторов
3.      Пример судебной практики
4.      Судебная практика
5.      Согласия субъекта на обработку Пдн, данное ОА "МСП Банк"​ ​ ​ ​ ​ ​ https://smbfin.ru.
https://smbfin.ru//ServiceModel/MSPAuthService.svc/MS.. -
6.      Селфи с паспортом
7.      Серия постов по обезличиванию
8.      Про КИИ
9.      Положение об обработке и защите ПДн
10.   Шаблоны документов
11.   Сайт Н. Храмцовской
12.   Связь угроз и требований
13.   Памятка для пользователей
14.   Памятка по безопасной работе с почтой
15.   Книга К. Шудровой «Персональные данные: что было, что будет, на чем сердце успокоится…»
16.   Книга К. Шудровой «Персональные данные: как перестать беспокоиться и начать защищать?»

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.