Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №7 (157) за июль 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Любое современное сложное производство сильно регламентировано. Если контроль исполнения налогового законодательства давно и хорошо налажен, то множество технических регламентов, требований, стандартов и законов часто контролируется значительно хуже. Как же организовать контроль соответствия требованиям законодательства так, чтобы предприятие не тратилось на штрафы?

В профессиональной среде аудиторов и управленцев в последние годы закрепился термин комплаенс. Комплаенс - соответствие требованиям законодательства или регламентов. Скорее всего, распространение термина связано с тем, что всё большее число предприятий внедряет у себя те или иные стандарты управления, контроля качества продукции и услуг. Когда отслеживается соответствие требованиям, то говорят о контроле комплаенса. Пожалуй, комплаенс можно назвать «близким родственником» аудита.
Совсем необязательно чтобы предприятие внедряло у себя международные стандарты или проводились сертификационные аудиты. Руководство может определить для себя ценные практики и методики, отслеживать следование им. Например, правила внутреннего трудового распорядка, производственной и санитарной безопасности. Всё чаще в комплаенс включается антикоррупционные регламенты, правила получения подарков. Но основным побуждающим мотивом контроля соответствия являются штрафы, отзыв лицензии и другие последствия, которые возникнут, если нарушение регламентов выявят контролирующие и регулирующие органы.

Определение требования действующего законодательства и договоров.
Первым шагом при контроле соответствия является выявление всех требований, исполнение которых нужно контролировать. Т.е. буквально нужно составить перечень законов, инструкций, регламентов применимых к организации. Затем из всех них извлечь конкретные требования, как именно должны реализовываться требования, кто ответственный за исполнение. И отдельно, другим человеком, проводится проверка реализации требования, т.е. тот самый комплаенс. Ниже в качестве примера приведен простейший вариант листа контроля соответствия. В нашей практике мы часто консультируем коммерческие банки, поэтому за основу взяты несколько инструкций Центрального банка в сфере информационной безопасности.

Документ контроля соответствия - «живой», в него постоянно вносятся исправления, информация о контроле реализации. Поэтому удобнее вести его в электронном виде. Для начала подойдёт файл Excel, а со временем можно автоматизировать этот процесс и внедрить эти формы в действующую на предприятии систему (ERP). Сопутствующей пользой ведения контроля является высокая готовность к проведению проверок контролирующими органами. Всё что могут спросить и проверить - уже под рукой. И наоборот, если будут замечания со стороны проверяющих, то механизмы контроля дорабатываются. Составление перечня контрольных точек очень помогает и в удалённом управлении. Например, головной офис компании может дистанционно отслеживать как филиалы выполняют требования законодательства. Современные технологии позволяют не только заполнять формы отчётности, но и фиксировать факты выполнения требований. Можно прикладывать к формам сканированные документы, фотографии оборудования и помещений. Эта практика широко применяется в крупных торговых сетях. Вы наверняка видели, как сотрудники магазина после раскладки товаров на полках делают их фотографии и отправляют своему руководителю в виде отчёта.
Само собой, при выходе нового закона, инструкций дорабатываются и внедряются новые точки контроля соответствия. А при выходе на новые рынки нужно учитывать требования страны и региона. Хрестоматийный пример - когда в Европе в 2018 году был принят регламент по защите персональных данных GDPR, все мировые компании-гиганты вынуждены были дорабатывать свои процессы и документы. Если компания оказывает услуги или в Евросоюзе, или его гражданам, нужно соответствовать регламенту, даже если штаб-квартира находится не в ЕС.
В случае Узбекистана, после выхода закона «О персональных данных» самой логичной мерой является составление списка обязательных к выполнению требований, выявление в самой организации баз данных, в которых хранятся персональные данные. Об этом мы писали в 11-ом номере журнала за ноябрь 2019 г.
Контроль по соответствию требованиям должен распространяется даже на такую творческую деятельность как журналистика, дизайн, музыка. Выпуская в свет журнал, газету, фильм - редакция должна убедится что имеет все права на издаваемые материалы или они имеют правовой статус, не препятствующий распространению (например - общественное достояние). Если редакция не проверит лицензионную чистоту используемых изображений или текстов, то существует риск получения иска к редакции от правообладателей. Типичный пример: организация по договору аутсорсинга привлекает компанию для выполнения задач пресс-службы. Если на официальном сайте организации будет размещён материал, нарушающий чьи-то авторские права (например, для иллюстрации будет использована случайная картинка из интернета), то ответчиком по иску будет сама организация, а не компания-аутсорсер. Подробнее об этом можно прочитать в п. 18.1.2 государственного стандарта O'z DSt ISO/IEC 27002:2016 . Со временем система комплаенс-контроля становится серьезным инструментом, при помощи которого можно отследить кто и как нарушает требования законодательства. Поэтому нужно с самого начала озаботиться безопасностью системы. Как школьник, получивший двойку, постарается или спрятать дневник от родителей, или «вытравить» отметку, так и нарушитель не заинтересован в существовании документа, доказывающего его нарушения.
Со временем, любая сколько-нибудь серьезная система управления требует проведения аудита. Хорошей практикой считается проведение независимого (внешнего) аудита, когда его проводят специалисты, не зависящие от области аудита, не включенные в изучаемые процессы. Это может быть и сторонняя компания. При внутреннем аудите его проводят сотрудники, не зависящие в административном плане от изучаемого подразделения. Например, один отдел может проводить аудит процессов другого. Но важно понимать, что внутренний аудитор (или исполняющий его роль) должен иметь опыт, квалификацию, только в этом случае результат аудита будет содержательным. Если на предприятии налажен контроль соответствия требованиям (комплаенс-контроль), то и аудит проходит значительно проще.

В качестве резюме. Аудит является более общим, сложным мероприятием, целью которого является оптимизация процессов, повышение эффективности. Поэтому и проводится он относительно нечасто. Крупные предприятия проводят финансовые аудиты ежегодно, внутренние в системах управления качества могут быть чаще - ежеквартально. Скорее всего комплаенс в зачаточном состоянии есть на любом крупном предприятии. Именно его проводят юристы, когда изучают договора с поставщиками, визируют тексты инструкций, приказов. Контроль соответствия (комплаенс) это постоянный процесс призванный поддерживать соблюдение базовых норм, определённых в документах. Его отсутствие неминуемо приводит к штрафам, санкциям и другим тяжелым последствиям.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №4 (154) за апрель 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Часть профессий по-прежнему требует личного присутствия - водители, машинисты, пилоты. Преподаватели тоже работают напрямую с людьми, но уже начинают всё больше применять методы удалённой работы, развивается телемедицина. Значительное количество офисных сотрудников могут работать и вне офисных помещений, на выезде или из дома.

Сейчас в результате обстоятельства непреодолимой силы (меры по борьбе с эпидемией) значительное число работников, так или иначе попробовали работать удалённо. Почти наверняка, даже после завершения карантинных мероприятий все предприятия ждёт трансформация. Многие поняли - работать можно и удалённо, а присутствие в офисе - необязательно. Пожалуй, ключевым вопросом, который следует задать себе всем руководителям предприятий - почему сотрудник для выполнения своих обязанностей должен приходить в офис? Кажется, что в подавляющем большинстве случаев ответ будет такой - чтобы можно было контролировать сотрудника, его исполнительскую дисциплину. Для работающих удалённо, из дома, острой проблемой является самоконтроль, дома очень много отвлекающих факторов. Однако и в офисе результативность труда может быть низкой из-за отсутствия контроля и мотивации. Один из самых очевидных методов - использовать какие-то показатели эффективности, KPI. Эти методы можно в равной степени использовать и для удалённой работы. Тому, как повысить эффективность труда сотрудников и измерять её, посвящено множество статей в нашем журнале.

Как это сделать переход на удалённую работу безболезненно и для предприятия и для сотрудников?

1. Признать, что удалённая работа и цифровизация бизнеса - свершившийся факт. Удалённая работа уже давно существует на любом предприятии. Даже там, где об этом не догадываются. Так сейчас вся налоговая и статистическая отчётность сдаётся только в электронном виде. Удобства такого подхода очевидны всем. А ведь сначала очень многие сомневались: «Как же так? Как мы докажем факт сдачи отчётов?». Теперь же трансформация привычных процессов произойдёт ещё и одновременно с «отвязыванием» от традиционных рабочих мест.

2. Выяснить, а зачем вообще необходимо присутствие сотрудника в офисе? Если критически проанализировать производственные процессы, то выяснится, что большинству сотрудников необязательно находится лично на месте. Сейчас в Узбекистане есть примеры, когда даже сотрудники колл-центра работают из дома. А уж для бухгалтеров мобильность давно привычна. Многие бухгалтера где-то работают по основному месту, и оттуда же ведут учёт ещё нескольких предприятий. Для тех сотрудников, которые могут работать удалённо, можно если и не делать сразу этот вариант работы основным, то принять в качестве резервного/альтернативного.

3. Провести анализ того, какие данные будут использоваться в удалённой работе. В привычном офисе есть понятие периметра предприятия. Для всех очевидно, что с документами все работают на своём месте, а вынос документов за пределы - нестандартная, а чаще и вовсе запрещённая процедура. Если сотрудник работает с критически важной информацией (коммерческая тайна, персональные данные), то нужно принять дополнительные меры защиты и контроля. Или временно отказаться от дистанционной работы с такими данными. В крайнем случае, такие данные может обрабатывать сотрудник, физически находящийся на рабочем месте. А всю обезличенную информацию или консолидированную отчётность можно обрабатывать дистанционно. При анализе рисков очень желательно получить консультацию юриста - для разных типов данных могут быть разные режимы обработки. Особенно много тонкостей и пока неразрешенных вопросов в обработке персональных данных.

4. Договориться о подходе к дистанционной работе, времени реакции. Для целого ряда профессий, совсем необязательно выполнять объем работ именно с девяти до шести. Кто-то хорошо работает глубокой ночью или рано утром. Именно удалённая работа позволяет максимально использовать особенности работника. Само собой, есть необходимость в общении, например, по телефону. Поэтому заранее определяется, в какое время нужно быть на связи. Работнику необходимо свободное время даже дома. Чтобы он мог выйти за продуктами, элементарно отдохнуть. Лучше оговорить часы, когда сотрудник обязуется дать ответ в разумные сроки, перезвонить, дать комментарии, а не считать, что раз сотрудник дома, то он доступен 24 часа в сутки. Во взаимоотношениях с поставщиками сервисов это называется «уровень обслуживания» (Service Level Agreement), для сотрудника это может быть просто установленный режим связи или скорости реакции на сообщения по почте или в интернет-мессенджере.

5. Обеспечить сотруднику качественное интернет-подключение и необходимое оборудование. В большинстве случаев у сотрудника дома уже есть интернет-подключение. Но оно рассчитано на бытовые нужды, он делит его с членами семьи. Если субсидировать сотруднику средства на оплату услуг связи, то он, с одной стороны, будет иметь возможность приобрести пакет с более высокой скоростью подключения, с другой - будет чувствовать моральные обязательства по целевому использованию ресурсов, не сможет ссылаться на отсутствие средств на связь. Важно помнить, что затраты могут быть не только на интернет, но и на телефонную связь, бумагу и тонер для принтера. А ещё сотрудник, работая из дома, расходует электроэнергию, амортизирует оборудование. Поэтому нужно решить, или сотруднику выдаётся во временное пользование оборудование за счёт организации или компенсируется амортизация собственной техники.

6. Удалённое рабочее место сотрудника, где бы оно не находилось, дома, в командировке, на отдыхе, это частичка предприятия - меры информационной безопасности на нём должны быть такие же как на предприятии. На компьютере сотрудника хранится и обрабатывается важная для предприятия информация. Для снижения рисков утечки или утери данных предприятие должно позаботиться о том, чтобы сам компьютер и оборудование было защищено. Простейшие первичные меры - установка обновления безопасности для операционной системы, установка и обновление надёжного антивирусного ПО. Часто бывает, что в домашних условия всего один компьютер на семью. И на нём же сейчас учатся дистанционно дети. Хорошая практика, перед началом работы сотрудник отдела ИТ или ИБ проверяет уровень защищенности компьютера и устанавливает всё необходимое ПО. Это тоже можно делать дистанционно. Самым эффективным (но и затратным) является выделение отдельного компьютера сотруднику, работающему удалённо. Это может быть и ноутбук - более мобилен, но менее ремонтопригоден, и стационарный компьютер - проще в обслуживании, но занимает больше места. Если раньше по всем проблемам с компьютерной техникой на рабочем месте сотрудники обращались к сотруднику ИТ, то теперь эти вопросы нужно адресовать ему же, но уже с дистанционных рабочих мест. Соответственно, меняется работа и обслуживающего сотрудника, ему приходится больше коммуницировать по телефону, выяснять, в чём проблема, получать доступ к удалённым рабочим столам. Т.е. результативность (вернее выработка) может пострадать - на решение проблем потребуется чуть больше времени по сравнению с традиционным вариантом.

7. Активность удалённых пользователей нужно контролировать. Это нужно и для контроля исполнительской дисциплины, особенно на первых порах. Второй аспект - обеспечение информационной безопасности. Если сотрудник работает дистанционно с ресурсами предприятия несколько часов в день, то в остальное время лучше «перекрывать» удалённый доступ к ним. Если сотрудник всегда работает, например, из дома, то можно ограничить доступ конкретным сетевым адресом - грубо говоря, чтобы доступ к производственным системам был, например, только из Ташкента, и заблокирован для всего остального мира. Это снизит вероятность сетевых атак. Подробные технические рекомендации по организации безопасного удалённого доступа даны в пункте 6.2.2 государственного стандарта Республики Узбекистан O‘z DSt ISO/IEC 27002:2016

Краткие итоги и анализ практики в Узбекистане.

•    Любые серьезные мероприятия нужно всего планировать, внедрять и тестировать заранее. В момент кризиса может оказаться, что решить проблему невозможно решить ни за какие деньги. Например, у провайдера может просто не быть свободных портов для подключения, в районе проживания специалиста - отсутствовать и проводной, и мобильный интернет, и т.д. Отмечено, что в условиях массового перевода сотрудников на удалённую работу, некоторые провайдеры в Ташкенте не справляются с нагрузкой, вернее подключение новых абонентов происходит значительно дольше обычного.
•    В некоторых случаях (и в Узбекистане в том числе) провайдеры могут блокировать активность приложений удалённого доступа или из-за особенностей организации сети удалённые подключения просто не будут работать. В идеале все такие сценарии нужно отрепетировать заранее, тогда всё «тонкие» места будут выявлены и устранены. Т.е. хорошей практикой будет наличие нескольких вариантов подключения. Аналогично и с организацией доступа в интернет. Кроме проводного высокоскоростного интернета, желательно предусмотреть для сотрудника и резервный вариант подключения, например, через мобильную/сотовую связь.
•    Существуют положительные эффекты от удалённой работы, особенно если это распространённая на предприятии практика. Сотрудники, которые не занимают рабочие места в офисе, позволяют сэкономить на арендуемых площадях, услугах уборщицы, охране. Теперь технологии удалённого доступа и дистанционной работы могут применяться даже и без чрезвычайных обстоятельств, а когда сотрудник находится в командировке, в отпуске, да и просто решил остаться дома. В этом случае устойчивость к чрезвычайным происшествиям предприятия в целом повышается.
P.S. Уже после сдачи материала в редакцию, коллеги из Центра кибербезопасности опубликовали материал «Рекомендации информационной безопасности для предприятий и организаций, переведших своих сотрудников на удаленную работу». Рекомендуем ознакомится и с ним тоже.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №2 (152) за февраль 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

При распределении бюджетов между подразделения и отделами предприятия руководство зачастую основную часть средств отдаёт «генераторам прибыли», а на «убыточных», т.е. поддерживающих работу предприятия, экономят. Это приводит к возникновению серьезных проблем с инфраструктурой и, как следствие, падению прибыли. Если любому гражданину понятна важность, но «убыточность» армии и служб правопорядка, то подобная же специфика служб информационных безопасности для предприятия многим неочевидна.

Сможет ли государство обеспечить свою безопасность или защитить границы, если его руководитель не понимает важности армии, безопасности рубежей? Если у руководителя страны не будет понимания стратегических интересов, то не потребуется даже никаких вооруженных конфликтов, достаточно будет подписать какое-нибудь невыгодное соглашение по которому неприятелю отойдут территории. Может показаться, что это очень абстрактный пример, но в информационной безопасности именно так и происходит. Утечки часто происходят именно через руководителей, которые имеют полный доступ к базам данных и не приемлют ограничений, которые пытается установить служба ИБ - ограничить доступ по времени, только с рабочего места. Напротив, руководитель хочет видеть всё, всегда и из любой точки земного шара. Компьютер или мобильное устройство руководителя заражается вирусом или перехватывается пароль к учётной записи. И у злоумышленников в руках сразу полный доступ ко всем данным - не нужно тратиться на взлом сложных систем защиты. Получается, что именно главный руководитель предприятия и является самым слабым звеном. Безопасность предприятия может быть обеспечена только если высшее руководство заинтересованно и вовлечено в процесс её обеспечения. Приверженность (или commitment по-английски) - хороший термин, описывающий это ключевое качество руководителя. Без приверженности и поддержки руководства, даже самые опытные и грамотные специалисты не смогут обеспечить безопасность. Или пример из бытовой жизни - если родители нарушают правила дорожного движения, сорят на улице, то ребёнок будет копировать их модель поведения, даже если ему будут говорить что это неправильно.

Но руководитель предприятия может действительно неверно оценивать риски, не задумываться об обратной стороне цифровизации бизнеса. Задача руководителя службы ИТ и ИБ вовремя разъяснить ему все проблемы, предложить решения. Понимание ключевой роли ИТ в современном бизнесе - обоюдная задача высшего руководства предприятия и в бо́льшей степени начальника профильного отдела. Первый пласт проблемы - отсутствие общего языка. В современном HR есть даже специальное понятие - недостаток внутренней коммуникации. Если взглянуть на ситуацию со стороны высшего руководства, то действительно, службы ИТ и ИБ всегда выглядят как потребители средств, генераторы убытков, все затраты на них - безвозвратные. И логично, что именно их хотят сократить в первую очередь. Даже мебель или автомобиль можно будет продать потом по остаточной стоимости, а вложения в ИБ никак не компенсируешь. Поэтому руководителю ИТ и ИБ хорошо разъяснить важность своей службы с финансовых позиций. Показать, что если информационная безопасность и не «зарабатывает», то защищает от больших потерь. Вот несколько подходов, для разных предприятий эти приоритеты могут быть расставлены по-разному:
1. Внедрение мер ИБ - требование регулирующих органов. Например, всем госорганам в Узбекистане предписано создать службу информационной безопасности. В зависимости от масштаба предприятия это могут быть несколько сотрудников, а где-то - целые отделы и управления. Регулятор для коммерческих банков, Центральный банк, требует наличия антивирусной защиты, гарантированного энергоснабжения, ведения резервного копирования и электронного архива. В случае невыполнения требований - санкции: штрафы, отзыв лицензии.
2. Безотказная работа информационных систем - условие ведения многих видов бизнеса. Многим памятен сбой в работе системы UzCard, который произошел в сентябре 2018 года. Из-за него финансовые транзакции в течении нескольких дней были недоступны. Можно представить, какую прибыль недополучили все участники финансового рынка. Банки не получали проценты за обслуживание, торговые предприятия лишились клиентов, у которых все средства были на пластиковых картах. Подобную ситуацию можно смоделировать на любом предприятии и с приблизительными цифрами в руках доказать руководству, сколько будет стоить сутки простоя предприятия и сколько придётся потратить на устранение последствий, какова упущенная выгода или компенсации по существующим договорам. Скорее всего выяснится, что за значительно меньшие деньги можно заранее подготовиться и предотвратить подобные ЧП.
3. Репутационный ущерб от проблем с безопасностью. Институт репутации и доверия только формируется в Узбекистане. Совсем мало компаний, которые долгие годы находятся на рынке, но они есть и многие из них удерживают клиентов именно за счёт того, что клиенты получают предсказуемый уровень сервиса. А если представить, что на каком-нибудь высококонкурентном рынке произойдёт, например, утечка данных пользователей, то восстановить репутацию будет почти невозможно. Абстрактный пример, у какого-нибудь крупного коммерческого медцентра будет похищена и опубликована база данных всех пациентов со всеми анализами и диагнозами. Каков в этом случае ущерб репутации? Скорее всего бо́льшая часть клиентов в него никогда не вернётся, а то ещё и вчинят иск к центру за разглашение их персональных данных. Подобные базы данных накапливают многие торговые сети имеющие карты лояльности. Они фиксируют не только суммы покупок, но и все позиции в чеках - всё что вы покупаете тоже записывается. Будет ли вам приятно, если эту базу опубликуют, и все желающие смогут просмотреть что именно и на какие суммы вы покупали за последний год? А ведь многие бизнесмены и не понимают, что накопление «больших данных» это не только удобный инструмент для маркетингового анализа, но и такая вот потенциальная мина замедленного действия.
Задача начальника отдела ИБ заранее описать все возможные сценарии, предложить свои решения. Тогда на фоне возможного полного краха, текущие траты на ИБ не покажутся такими большими и руководство и начнёт выделять бюджет, и поймёт, наконец, роль службы информационной безопасности.
По опыту работы в Узбекистане можно уверенно сказать, что ещё одной большой проблемой является низкий авторитет служб ИТ и ИБ. Если к советам юриста прислушиваются почти всегда, то к проблемам информационных технологий относятся поверхностно, по остаточному принципу. Это выражается даже в том, что в телефонном справочнике любой компании отдел ИТ записан в самом конце, перед водителями, охранниками и уборщицами.

Как повысить свой авторитет службы и найти понимание у руководства?
1. Выступать с лекциями, презентациями. Обратите внимание, что многие высокотехнологичные компании часто представляют их «первые» лица - так было со Стивом Джобсом (Apple), также делает Илон Маск (SpaceX, Tesla). Ведь эти люди могут пригласить выступить вместо себя любого сотрудника или профессионального актёра, но выступление главы компании добавляет доверия к ней. Конечно, начальнику ИТ-отдела необязательно становиться лицедеем. Но какой-то минимальный багаж полемических приёмов будет очень полезен. Сейчас даже появился термин «технологический евангелист - человек последовательно «продвигающий» технологию, формирующий лояльное отношение к ней». Только если искренне самому верить в правильность выбранного пути - эту уверенность почувствует и высшее руководство. Если не удаётся постоянно выступать перед большой аудиторией, то даже чтение мастер-классов для коллег способно поддерживать требуемые навыки.
2. Писать статьи для авторитетных изданий и СМИ. Сейчас очень многие информационные ресурсы имеют только электронную форму дистрибуции. Это существенно ускоряет и упрощает публикацию материалов по актуальным темам. Любой начальник уже обладает базовыми навыками подготовки текста. Ведь, особенно в госорганах, приходится постоянно писать рапорты, пояснительные записки и т.д. Для молодых специалистов подготовка статей будет ценным опытом работы с источниками информации. Со временем специалисты вашей компании статут заметными личностями в медиапространстве, к ним будут обращаться журналисты за комментариями. Побочным фактором такой деятельности является формирование профессиональной этики, приходит понимание, насколько сложнее и ответственнее высказываться от собственного имени, а не от абстрактного альтер-эго или анонимно, как это практикуется в соцсетях.
3. Посещать конференции, презентации, форумы. Делать это должен не столько начальник, сколько ключевые специалисты подразделения. У таких мероприятий есть не только очевидный образовательный эффект. Не менее ценно, что рядовые сотрудники видят своих коллег, могут оценить себя и их в профессиональном плане, формируется здоровая конкуренция.
4. Проходить обучение или повышение квалификации. То что давно очевидно для педагогов и врачей, ещё более актуально для ИТ и ИБ специалистов, так как тут повестка дня меняется стремительно. Это называется компетентностным подходом к образованию   научить человека решать конкретные задачи, действовать самостоятельно в предлагаемых обстоятельствах. Обучаться должны все-все сотрудники. По сути, умение учиться является ключевым качеством современного технического специалиста. Само собой, нужен какой-то минимальный учёт обучения сотрудников - фиксировать названия курсов, результат обучения (сертификат, набранные баллы). Его потом будет проще «подвязать» с соответствующему KPI (Key Performance Indicator — показатель достижения успеха в определенной деятельности). Образование не самоцель, но хотя бы раз в год нужно проходить какое-то обучение, например, онлайн.
Теперь можно представить себе ситуацию, когда на приём к высшему руководству приходит руководитель ИТ-отдела или службы безопасности и ходатайствует о выделении средств на какую-то новую технологию обеспечения безопасности. Он спокойно и доступно объясняет сложившуюся ситуацию   помогает навык выступлений. Предлагает вариант решения проблемы и с цифрами в руках защищает свою позицию. В качестве аргументов он невзначай упоминает публикации в СМИ, которые сделали его специалисты, отмечает, что другие сотрудники недавно прошли обучение по этой теме и тоже участвовали в подготовке решения. Приводит примеры из мировой практики или случаи у конкурентов, когда возникали подобные проблемы и чем они закончились для тех компаний. Согласитесь, руководителю сложно будет отказать после применения такой «тяжелой» артиллерии. Напротив, ему значительно приятнее оказаться куратором такого экспертного сообщества, одобрить и выделить средства на действительно нужное дело. А сотрудники, которых ценят, считают профессионалами и всячески поддерживают   реже меняют место работы, ведь кроме финансового стимулирования, именно признание заслуг является колоссальным мотивирующим фактором.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №11 (149) за ноябрь 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится рабочая авторская редакция статьи. Данный материал готовился в условиях отсутствия официальных комментариев уполномоченного органа и до вступления в силу самого закона, поэтому основывается на опыте эксперта. За время прошедшее с публикации статья дополнена новыми фактами и мнениями. При первом прочтении рекомендуется ознакомиться с основным текстом, а уже потом с дополнениями - они снимают многие вопросы.

Дополнение от 21.11.2023
Опубликованы сразу два документа по защите персональных данных в Республике Узбекистан:
Типовой порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3477)
Типовой порядок обработки персональных данных (утверждён приказом министра юстиции Республики Узбекистан от 15.11.2023 г., рег.№ 3478)

Что обращает на себя внимание во втором документе:
- В значительной мере институциализируется понятие конклюдентных действий, через акцепт оферты или согласие субъекта с требованиями и условиями пользования услугами.
- Вводятся требования по составу бланка согласия на обработку персональных данных, буквально перечисляются обязательные поля.
- Впервые в отечественном законодательстве появляется термин “блокирование” или ограничение применительно к персональным данным.

Коллеги из "Нормы" уже успели сделать краткий разбор этого документа.

Дополнение от 18.10.2022
5 октября 2022 г. вышло постановления Кабинета Министров РУз № 570 "Об утверждении некоторых нормативных правовых актов в области обработки персональных данных"
Им утверждаются два документа:
1. "Об определении категорий/степеней защиты при обработке ПДн."
2. "О требованиях к материальным носителями, содержащим биометрические и генетические ПДн и о технологиях хранения таких данных вне информационных систем."
Коллеги из NORMA сделали сводную таблицу, по которой проще разобраться с содержанием документа.
Требования ПКМ № 570 от 5 октября 2022 г. вступают в силу 07.01.2023.

Дополнение от 9.09.2022
Наш специалист направил запрос в ГЦП с вопросами:
1. В соотв. со ст.15 закона «О персональных данных» трансграничная передача ПДн осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. Каковы критерии адекватности? Сформирован ли перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн?
2. В соотв. со ст.8 того же закона на ГЦП возложены задачи утвердить два документа:
- Типовой порядок обраб.ПДн;
- Типовой порядок орг. деят. стр. подразд. или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту.
Ранее проекты этих документов проходили общественное обсуждение (1 и 2)  Каков их текущий статус?
Был получен оперативный ответ. Благодарим сотрудников ГЦП за развёрнутые и содержательные разъяснения. Приводим его целиком (маскирован только адрес получателя).

Дополнение от 8.07.2021
Правоприменительная практика закона «О персональных данных»:
- Раскрыта группа, незаконно регистрировавшая IMEI-коды.
- Ограничено использование ряда социальных сетей в связи с нарушением требований законодательства при обработке персональных данных граждан Республики Узбекистан.
На сайте ГЦП стал доступен "Реестр нарушителей прав субъектов персональных данных"

Дополнение 4.03.2021
«Приведёт ли новый закон к блокировке социальных сетей?» Так называется (в переводе на русский язык) статья, размещённая на сайте Государственного центра персонализации в разделе новости. Фактически это репост новости с сайта kun.uz.
Наибольшую ценность представляет комментарий пресс-секретаря министерства по развитию информационных технологий и коммуникаций Шерзода Ахматова:
1. По словам пресс-секретаря (в изложении kun.uz) штаб-квартиры крупных социальных сетей и сервисов проинформированы о новинках законодательства в Узбекистане.
2. Дано уточнение о цели внесения поправки в закон «О персональных данных». Если персональные данные граждан Узбекистана хранятся на территории иностранного государства, то невозможно контролировать исполнение отечественного законодательства. То же и в случае если организация зарегистрирована в Узбекистане, но хранит персональные данные граждан за рубежом, то невозможно будет проверить выполнение ими действующего локального законодательства.
3. Будут рассматриваться различные варианты работы, если компании не захотят переносить сервера в Узбекистан. Например - предоставлять услуги без сбора персональных данных.
4. Решение о нарушении закона «О персональных данных» и (в случае необходимости) о блокировке будет принимать суд.

Дополнение 8.02.2021
Анонсированные новеллы в закон РУз «О персональных данных» вызвал резонные вопросы. Два основных:
1) Нужно ли теперь обрабатывать персональные данные граждан исключительно в Узбекистане и допустимо ли использовать зарубежные хостинги и облачные хранилища?
2) Как быть нерезидентам, не имеющим офисов и представительств в Узбекистане? Какова позиция регулятора в случае приобретения товаров в зарубежных интернет-магазинах, авиабилетов онлайн?

Ответов и комментариев от законодателей и уполномоченного органа мы пока не обнаружили. Поэтому своими силами сделали сравнительный анализ подобных же норм законодательства России и Казахстана, где уже есть такая норма. Тем более, что формулировки законов очень похожи друг на друга. Ответы на два этих вопроса мы свели в таблицу - щелкните картинку для увеличения.
Ссылка на нормативы и комментарии к ним:
Россия - ФЗ-152 «О персональных данных», комментарии МинЦифры по обработке и хранению персональных данных в РФ.
Казахстан - Закон «О персональных данных и их защите», требование локального хранения персональных данных, установленное Законом Республики Казахстан «О персональных данных и их защите».

Также мы взяли экспресс-комментарий у нашей российской коллеги Ксении Шудровой (к.т.н., автор книг о ПДн, член RISC). Она подтверждает наши выводы - в самом общем случае в России нужно чтобы основная база ПДн была на территории страны, но и за рубежом обрабатывать можно.

Обновление от 26.01.2021
В закон РУз «О персональных данных» вносится дополнение, целая статья.
«Статья 27.1. Особые условия обработки персональных данных граждан Республики Узбекистан
Собственник и (или) оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных».
Она вводится в действие по истечении трёх месяцев со дня опубликования (т.е. 15 апреля 2021 г.)
Мнение и наблюдения нашего эксперта.
1. В новой статье акцент сделан именно на дополнительных требованиях именно к ПДн граждан Узбекистана, в то время как в остальном по тексту закона акцент на гражданстве субъекта не делается.
2. В формулировке статьи от собственника/оператора не требуется чтобы обработка производилась исключительно в Узбекистане, главное чтобы это происходило обязательно в Узбекистане, не исключая другие страны.
Предположительно, это сделано для того, чтобы распространить действие административного и уголовного законодательства на правонарушения в области ПДн. Ведь если данные будут собираться и храниться изначально вне пределов страны, то возникнет коллизия с областью действия национального законодательства.
Надеемся, что появятся комментарии к профильному закону или описание практики применения его положений.
Пока официальная формулировка не попала в текст закона на lex.uz и доступна только на сайте газеты «Народное слово».

Обновление от 25.06.2020
1. Заработал сайт «Государственный реестр баз персональных данных».
2. Наш специалист созвонился с ответственным специалистом ГЦП при КМ РУз по направлению персональных данных. В ходе конструктивного диалога удалось выяснить:
- заявки на регистрацию баз персональных данных уже можно отправлять через соответствующие формы на сайте. Всё рассмотрение и получение результата, свидетельства о регистрации в реестре баз ПДн, осуществляется в электронном виде.
- проекты двух документов - «Типовой порядок обработки персональных данных» и «Типовой порядок организации деятельности структурного подразделения обеспечивающего обработку персональных данных и их защиту» находятся в стадии разработки. После утверждения они появятся в соответствующем разделе сайте.
- специалисты профильного подразделения ГЦП готовы ответить на вопросы и дать разъяснения, все контактные данные по ссылке.

Обновление от 14.02.2020
Чтобы получить разъяснения по закону «О персональных данных» мы в ITTS обратились с официальным запросом в Государственный центр персонализации при КМ РУз. Сегодня мы получили на него ответ. Вот краткие новости по теме ПДн в Узбекистане:
1. На прошлой неделе принято постановление Кабинета Министров № 71 от 08.02.2020 «Об утверждении Положения о Государственном реестре баз персональных данных».  В нём разъясняются процедурные вопросы по регистрации баз персональных данных
2. В течение месяца будет создана база - реестр баз персональных данных, а в течение двух месяцев планируется запуск системы, в которой через интернет можно будет провести регистрацию базы ПДн государственном реестре, внести изменения в регистрационные данные, проверку факта регистрации базы ПДн в реестре. Для идентификации будет использовать единая система идентификации id.gov.uz
3. Регистрация базы ПДн в реестре и изменение регистрационных данных будут проводиться без взимания платы.
4. Обобщённо процесс регистрации баз данных ПДн представлен на схеме, перевод которой сделали коллеги из ООО «NORMA».

Многие давно отмечали, что любой поход в любую контору сопровождается снятием копии паспорта. Что потом происходит с этими бумагами? Навести порядок со сбором и обработкой персональных данных призван вновь принятый закон.
Закон «О персональных данных» в Узбекистане был принят в начале июля 2019 года, в силу он вступил с 1 октября 2019 года. Видимо, из-за периода летних отпусков это событие прошло практически незамеченным. А ведь затрагивает он практически всех, кто оперирует со сколько-нибудь серьезной базой данных. Это банки, организации снабжающие электроэнергией, связью, газом, интернет-провайдеры. Попробуем отметить основные моменты.
Что такое персональные данные?
От того, что является персональными данными (далее по тексту ПДн) зависит, применим ли закон или нет. Вот точная формулировка из закона:
Персональные данные — зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации. (ст.4)
На какие случаи закон не распространяется?
- При обработке ПДн физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
- При формировании документов Национальным архивного фонда
- При обработке ПДн относящихся к госсекретам
- При обработке ПДн в рамках оперативно-розыскной деятельности и т.д. (ст.3)
Кто осуществляет государственное регулирование в области персональных данных?
Такое регулирование осуществляется Кабинетом Министров (ст.7) специально уполномоченным органом - Государственным центром персонализации (ст.8) - ГЦП.
Что такое обезличивание ПДн и когда оно необходимо?
Такое изменение персональных данных, когда определение принадлежности их конкретному субъекту становится невозможным называется обезличиванием. Необходимо обезличивать ПДн для проведения исторических, статистических, социологических, научных исследований (ст.16)
Нужно ли согласие владельца персональных данных (субъекта) на обработку его ПДн?
Да, теперь чётко определены условия, при которых возможна обработка ПДн. Одним из условий является согласие субъекта. (ст.18) При этом, субъект должен быть проинформирован какие именно данные собираются, цель их сбора, способы обработки и сроки (ст.23). Само согласие на обработку ПДн может быть и отозвано субъектом (ст.21), в этом случае ПДн должны быть уничтожены (ст.17). Это требование может быть обойдено, если такие данные получены из общедоступных источников.
Когда не нужно регистрировать базу персональных данных?
- относящихся к общественными или религиозным организациям, но только для внутренних нужд без передачи третьим лицам;
- сведений, которые сам субъект сделал общедоступными;
- сведений, включающих только фамилию, имя и отчество;
- сведений для разового прохода (при оформлении пропуска) на территорию;
- при обработке сведений из государственных информационных систем;
- при обработке сведений без средств автоматизации, т.е. бумажные записи и архивы;
- обрабатываемые кадровыми службами (ст.20).
Проще говоря - предприятиям, которые не накапливают никаких персональных данных граждан в электронном виде, можно базы не регистрировать. База сотрудников у кадровой службы, даже и в цифровом виде, как отмечено выше не требует регистрации.
Что такое специальные персональные данные?
Это данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости (ст.25).
Биометрические и генетические данные субъекта могут обрабатываться только при наличии согласия субъекта (ст.26). Некоторые банки в Узбекистан используют биометрические данные как степень дополнительной защиты, бывает, что отпечатки пальцев используются как пропуск в различных система контроля доступа. Теперь такие данные можно собирать только после документированного согласия клиента или пользователя.
Для ПДн должна быть обеспечена конфиденциальность, а для раскрытия и распространения нужно согласие субъекта (ст.29). Это требование не распространяется на общедоступные ПДн. Общедоступные персональные данные являются персональные данные, доступ к которым является свободным с согласия субъекта (ст.29).
Обязанности собственника или оператора ПДн.
Из инновационного и не вполне очевидного - обеспечить возможность подачи субъектом персональных данных документов (заявки) в электронном виде на временное приостановление обработки или уничтожение его персональных данных (ст.31).
Также оператор определяет структурное подразделение или должностное лицо, ответственное за работу с ПДн и обеспечивает его работу в соответствии с Типовым порядком обработки персональных данных. Судя по тексту закона, такой порядок будет разработан уполномоченным органом.
Что такое регистрация баз данных?
Базы ПДн регистрируются в Государственном реестре в ГЦП. А сама регистрация - уведомительная (ст.20). При изменении регистрационных данных нужно также уведомлять ГЦП в десятидневный срок. Также ГЦП выдает по итогам рассмотрения уведомления свидетельство о регистрации базы персональных данных в Государственном реестре.

Т.к. закон недавно вступил в силу, практически отсутствуют подзаконные акты и нет никакой практики его применения. В этой связи для всех собственников и операторов баз персональных данных можно предложить несколько рекомендаций на тот срок, пока формируется правоприменительная практика. Чтобы не стать первой организацией, которую оштрафуют за нарушение этого закона.
Первые рекомендуемые шаги по имплементации закона «О персональных данных»:
1. Провести инвентаризацию используемые информационных систем, составить их список и перечень персональных данных используемых в них, способах и сроках обработки.
2. Т.к. процедура регистрации баз данных определена законом очень общо, то целесообразным будет направить в уполномоченный орган (ГЦП) составленный перечень баз ПДн для регистрации в произвольной форме, в виде письма и запросить уточнения по процедуре. Ведь формально нужно проинформировать ГЦП в десятидневный срок и отсутствие регламента или наработанной практики не будет являться основанием для бездействия.
3. Разработать форму согласия субъектов на обработку персональных данных и предлагать подписать её всем новым пользователям и клиентам. Такую форму нужно тщательно согласовать с юридической службой предприятия. Ведь именно эта форма в дальнейшем будет основным документом для защиты интересов предприятия в случае инцидентов, в суде. Для пользователей регистрируемых удалённо - брать согласие на обработку в электронном виде, путём заполнения и подтверждения соответствующей формы. Тут же нужно предусмотреть и возможность отзыва согласия на обработку ПДн в той же форме, в которой оно давалось. Согласие на обработку персональных данных теперь нужно будет брать у всех новых клиентов, а затем получить такое согласие и от тех, чьи данные были включен в базы данных ранее.
4. Определить подразделение или должностное лицо на предприятии, ответственное за работу с персональными данными. Проще всего это сделать отдельным приказом по предприятию. Само собой, необходимо, чтобы уполномоченное лицо знало и понимало суть нового закона, организовало на предприятии работу по соответствию этому закону.
5. Закон подразумевает разработку уполномоченным органом (ГЦП) нескольких типовых порядков. Пока их нет (нигде официально не опубликованы), лучше самостоятельно подготовить временные внутренние документы   порядок обработки ПДн и порядок организации деятельности подразделения или уполномоченного лица, ответственного за работу с ПДн.

Проблемами защиты персональных данных давно обеспокоены во всём мире. В Европе принят регламент GDPR General Data Protection Regulation, в России - федеральный закон ФЗ-152. И везде процесс внедрения этих регулирующих актов проходит очень непросто, появляются множественные правовые коллизии.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №10 (148) за октябрь 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится рабочая авторская редакция статьи.

Внедряя современные информационные технологии, предприятия автоматизируются учет и отчетность, сокращают время на разъезды с бумагами. Но зачастую, а для микробизнеса почти всегда никак, не учитывают риски внедрения новых технологий. В итоге по мере роста почти все предприятия допускают одни и те же ошибки. Вот лишь некоторые из них:
Ошибка № 1. Планирование и управление информационными технологиями и безопасностью считают дорогим и трудным делом, поэтому многие предпочитают решать проблемы по мере их появления.
Привлечение профильных ИТ-специалистов может быть затратно, особенно для микрофирм. Но это не значит, что вопросами информационных технологий никто не должен заниматься. Проще всего возложить эти задачи на кого-то из специалистов, а лучше, если руководитель или собственник бизнеса займется этим сам.
Пример: весь бухгалтерский, складской учет небольшой компании ведется в электронном виде на ноутбуке бухгалтера. Компьютер дал сбой и работа компании была парализована. Но бухгалтер опытный и сам делал копии всех данных. Ценой проблемы была только покупка нового компьютера и простой в несколько дней. Но, если бы  все данные бесследно исчезли, пришлось бы заплатить за восстановление учета, а простои составили бы недели и более.
Простои и убытки могут возникнуть и по независящим от компании причинам.
Пример: при сдаче отчетов в последние часы последнего дня информационные системы госорганов часто не справляются с нагрузкой – долго обрабатывают данные, «зависают». Если не успеть сдать отчет вовремя можно получить штраф за просрочку.
Как исправить? В обоих случаях, тому, кто занимается управлением ИТ, даже не нужно иметь каких-то углубленных познаний в технологиях, нужно просто научиться слышать сотрудников – они сами расскажут о проблемах и рисках. Задача руководителя – вовремя принять контрмеры. Это всегда в разы дешевле, чем потом решать проблемы «по факту». Внедряя любую информационную систему, нужно представлять себе стоимость владения ею (TCO – Total Cost of Ownership, совокупная стоимость владения). Купив автомобиль, наивно полагать, что траты на этом закончились. Теперь нужно оплачивать ГСМ, ремонт, страховку, мойку. Так и с информационными системами – им нужно оборудование, электроэнергия, поддерживающий персонал, обновление. Обо всем этом нужно не забывать при внедрении. Поэтому многие, сделавшие расчеты, и выбирают вариант с аутсорсингом  (см. нашу предыдущую статью в журнале №3 (141) за 2019 г.)

Ошибка №2. Внедрение мер безопасности откладывается на потом. Любые меры безопасности – ограничивают бизнес, сковывают пользователей.
Если система изначально развивается без учета мер безопасности, то потом их внедрение будет стоить дороже и может встретить противодействие со стороны пользователей. Когда в информационной системе, той же системе бухгалтерского учета, работает один-два человека, то они, как правило, видят все данные без ограничений. Потом начинают добавляться сотрудники – материальный бухгалтер, внутренний аудитор, отдел кадров и т.д. Если никаких ограничений и разделения полномочий не делать с самого начала, то все сотрудники будут видеть все проводки, остатки по счетам и другие данные. Вряд ли это понравится собственнику бизнеса. Если начать наводить порядок, то почти наверняка возникнут какие-то проблемы, кто-то не увидит то, что ему нужно по работе, да и сотрудники такие меры воспринимают как признак недоверия лично к ним.
Как исправить? С самого начала постараться оценить перспективы развития компании и эксплуатируемых ею систем. Если планируется развитие, то лучше сразу учесть это   внедрить ролевую модель доступа (когда каждый сотрудник видит только то, что ему нужно по работе), внедрить систему резервного копирования данных. Перед разработкой систем готовить техническое задание для программистов, создать и довести до сотрудников инструкции по работе с информационными системами. Ведь при покупке сложных бытовых приборов или станков на производстве многие читают инструкции по эксплуатации. А для сложных информационных систем это бывает очень редко, многие предпочитают учиться "в боевых условиях". Для небольших компаний хорошей практикой может быть описание каждым сотрудником своих ежедневных обязанностей, что и как он делает. На выходе получается некоторое подобие методички. Такой системный подход в управлении предприятием позволит по мере роста плавно перейти к системе менеджмента качества, а случае ротации персонала именно установленные и задокументированные правила позволят пережить уход ключевых специалистов, а новым - упростят вхождение в производственный процесс.

Ошибка №3. Не внедряют меры информационной безопасности, считая, что никто не оценит и лучше инвестировать средства в расширение производства и рекламу.
Как уже отмечено в примерах выше, при отсутствии планирования ИТ, убытки и простои лишь вопрос времени. В таких случаях специалисты по информационной безопасности приводят ставшую известной фразу директора ФБР Роберта Мюллера: «Убеждён, существует два типа компаний - те, кого уже взломали и тех, кому это предстоит.»
Как исправить? – Управляйте  технологиями и безопасностью системно. Это позволит получить  конкурентное преимущество. Обратите внимание, что банки часто отмечают, что внедрили у себя разные системы автоматизации, прошли независимый аудит. Ведь все это не влияет напрямую на клиентов, не повышает проценты по вкладам или не снижает ставки по кредитам, но доверие и лояльность клиентов растет.

Ошибка №4. Если бизнес не связан напрямую с информационными технологиями (например, выпечка тортов), то многие и не задумываются о безопасности. Даже если бизнес вообще не связан с ИТ, то отчетность-то наверняка сдается в электронном виде. Значит, есть и риски, с этим связанные. А что будет, если выйдет из строя номер телефона, по которому вы принимаете заказы? Со временем проникновение ИКТ во все сферы будет только усиливаться, например, уже и гостиницы регистрируют гостей в специальных государственных информационных системах и т. д. Останутся без связи и не отправят сведения - нарушат инструкции, штраф и т.д. Большое недовольство покупателей вызывает неработающий терминал для оплаты пластиковыми картами. Такие терминалы сейчас установлены во всех торгово-сервисных предприятиях. А ведь это тоже проблема ИТ.
Как исправить? – Нужно признать, что фактически не осталось сфер, свободных от ИТ. На каждом предприятии есть бухгалтер, директор, кадровик. Иногда эти функции как-то совмещаются. Также очень желательно определить, кто на предприятии отвечает за вопросы ИТ и ИБ. Этому ответственному лицу нужно будет произвести своеобразную инвентаризацию - выявить, кто и какие информационные системы эксплуатирует на предприятии, какие существуют риски - простои, утечки данных и т.д. Всю эту аналитику и конкретные предложения нужно донести до высшего руководства или собственника бизнеса. Часто руководство действительно не сознаёт насколько их бизнес зависим от ИТ.

Ошибка №5. Внедрение информационной системы проходит скачкообразно, без должного информирования пользователей, без подготовки альтернативных вариантов и без переходного периода.
Знакомая ситуация - человек, всю жизнь занимавшийся оформлением бумажных документов, приходит в госорган и узнаёт, что с сегодняшнего дня всё в электронном виде. А какова новая процедура - никто не знает. 
Если не определить порядок работы с информационными системами, то это может спровоцировать еще больший хаос. Пример, знакомый всем, снабжающая организация выставляет нам долг за поставленные ресурсы (электроэнергия, газ, вода). Мы приходим к ним с квитанциями и указываем, что по бумагам у нас долга нет, а они нам: «А у нас в компьютере другие данные. По нашей базе у вас долг». Патовая ситуация.
Как исправить? – Нужно изначально продумывать, каким образом будут решаться такие случаи. Что является первичным источником - бумажный документ или запись в базе данных? Если в каких-то процессах вы совсем отказались от бумажных документов, то единственным источником для установления истины является базы данных, а значит, ценность базы многократно возрастает. Нужно защищать ее от вмешательств извне, обеспечить постоянную работоспособность и доступность. Для крупных и сложных систем, охватывающих широкие массы - проводить разъяснительную работу, поощрять использование людьми новых технологий, сохраняя некоторое время и старые, привычные способы работы.

Большим подспорьем в вопросах внедрения ИКТ может быть консультация у эксперта. Если и на это совсем уж не хочется тратить деньги, то можно потратить время и заняться самостоятельно всеми вопросами. Очень полезно, особенно владельцу бизнеса, пройти любой вводный курс по основам управления информационными технологиями, чтобы понимать основные термины, принципы управления рисками, нормативы. Сейчас это можно сделать в том числе онлайн и бесплатно.

Обладая определённой компетенцией, уязвимости можно находить где угодно, даже в продуктовом магазине. Так и случилось с нами - ниже пример из нашей практики в Узбекистане.
В одной крупной отечественной торговой сети есть накопительная бонусная программа. Чтобы воспользоваться накопленным бонусом нужно предъявить штрих-код из мобильного приложения. Обнаруженная нами уязвимость могла быть использована злоумышленникам - делать покупки за чужой счёт, с чужих бонусных счетов. Специалисты торговой сети были нами тут же проинформированы и уязвимость устранена. Все эксперименты делались исключительно с собственным счётом нашего эксперта.
Совсем кратко схема могла выглядеть так:
1. Большинство покупателей выбрасывает чек тут же, около магазина.
2. Злоумышленник собирает чеки, выбирает те из них, где на бонусном счёте накоплена более-менее приличная сумма. Сумма бонусного счёта печатается прямо в чеке (см. картинку).
3. Путём некоторых манипуляций по данным из чека создаётся штрих-код - предъявляется и сканируется на кассе, оплачивается покупка с чужого бонусного счёта. Именно тут и была уязвимость.

Тут описание того, как именно можно было воспользоваться уязвимостью. Технические детали можете пропустить и перейти прямо к выводам.
- При покупке товаров с использованием бонусной программы торговой сети в чеке указывается номер счёта в программе и накопленная сумма (см. рисунок) - 12 цифр.
- Наш специалист предположил, что штрих-код в приложении получается напрямую из номера счёта. Но, выяснилось, что для генерации штрих-кода нужно 13 цифр (об этом говорит даже название самого алгоритма штрих-кодирования EAN-13), а номер счёта состоит из 12 цифр.
- Наш специалист предположил, что 13-я цифра это просто контрольная сумма, беглое ознакомление со статьей по EAN-13 в википедии подтвердило это предположение.
- контрольная сумма EAN-13, которая вычисляется по алгоритму:
• Суммировать цифры на четных позициях;
• Результат пункта 1 умножить на 3;
• Суммировать цифры на нечетных позициях;
• Суммировать результаты пунктов 2 и 3;
• Контрольное число — разница между окончательной суммой и ближайшим к ней наибольшим числом, кратным 10-ти.
Можно и не делать ничего вручную, есть готовый онлайн-инструмент для вычисления контрольной суммы.
- Уже на основании этих 13 цифр и генерируется штрих-код для кассира. Для генерации штрих-кода можно использовать даже онлайн-инструменты, например - https://barcode.tec-it.com.
Таким образом, путём несложных вычислений и манипуляций, злоумышленник может воссоздать по данным из чека штрих-код и с использованием графического редактора вставить штрих-код в скриншот приложения торговой сети, так что он не вызовет подозрений у кассира.

Выводы:
1. Уязвимости есть почти везде, в системах любой сложности.
2. Правильная организация процесса управления ИБ должна позволять их обнаруживать и устранять.
3. Жизненно необходимо создать возможность получать сообщения об уязвимостях извне - от экспертов и пользователей систем. Именно с этим у нас часто самые большие проблемы - элементарно некому сообщить об уязвимостях, нет адресов или по ним не отвечает. Уходят недели чтобы достучаться до собственников уязвимых систем.
4. Отмечать, поощрять, премировать все результативные сообщения об уязвимостях. Без этого последнего пункта сообщения об уязвимостях со временем просто иссякнут, а ведь уязвимостей от этого меньше не станет.

В реалиях Узбекистана, самым сложным часто является донести информацию о проблеме до заинтересованного лица. Как действуем мы?
1. В общем случае пишем по адресам из секции «Контакты» на сайте.
2. Для госорганов можно попробовать сообщить в CERT, ЦТС.
3. Проще всего может быть «достучаться» и донести информацию через клуб директоров по ИТ CIOClub - там сейчас сосредоточены практически все ключевые специалисты страны.

Дополнительные справочные материалы:
1. Политика ответственного раскрытия информации об уязвимостях (Responsible disclosure policy) для госорганов Нидерландов.
2. Политика ответственного раскрытия информации об уязвимостях ITTS.