Так сложилось, что мне в последнее время довелось и доводится участвовать в работе над проектами различных нормативных актов по информационной безопасности:
Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.
ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.
- документы ФСТЭК по персональным данным, государственным информационным системам и т.д.
- документы ПК1 ТК122 по стандартизации финансовой безопасности
- Стратегия кибербезопасности Российской Федерации
- проекты РАЭК
- проекты Роскомнадзора
- проекты НП НП
- документы Банка России
- и т.п.
- У проекта должен быть четкий владелец, который должен обладать всей полнотой власти и принятия решения о включении или невключении в нормативный акт предложений участников. Как не парадоксально, но у одного из описанных выше проектов это требование не выполняется - инициаторы заявили, что они только модерируют процесс и собирают разные мнения, вставляемые в разрабатываемый документ. В итоге сейчас получается винегрет, т.к. у участников процесса разное видение и самой темы, описываемый в проекте нормативного акта, и результата всей работы.
- У проекта должна быть заранее определеннаяцель, понятная всем участникам. Чтобы не было ситуации, когда цель меняется по ходу или ее вообще нет, а инициаторы проекта решили либо просто попиариться, либо не до конца сами понимают во что ввязываются.
- Все участники проекта должны использовать единую терминологию, чтобы не тратить время на обсуждение сути терминов "кибербезопасность", "информационная безопасность", "защита информации", "платежная система", "международная платежная система", "машинный носитель персональных данных" и т.п. Решить эту задачу можно либо использованием заранее созданного глоссария или предварительным созданием такого глоссария. Он полезег и работа по созданию глоссария точно впустую не пропадет.
- Определите Scope. Это классика управления проектами, но и про нее тоже часто забывают, затевая разработку документа с неочерченными границами. Например, стратегия кибербезопасности. Что входит в это понятие? Военно-политические угрозы? Террористические? Или только криминальные? Или планируемый в ПК1 ТК122 документ по лучшим практикам в области защиты информации при осуществлении денежных переводов. Очевидно, что форм безналичных расчетов в рамках НПС существует масса - платежные поручения, инкассо, чеки, электронные денежные переводы и т.п. И форм электронных средств платежа тоже немало. Я не говорю про то, что даже в самом Банке России (и его территориальных учреждениях) до конца не определились, что же такое электронное средство платежа. Кто-то к ним относит ДБО, кто-то нет. Кто-то относит к электронным переводам Western Union, а кто-то нет.
- Не пользуйтесь Почтой Россиидля коммуникаций с участниками. Аккурат недавно со мной произошел такой случае. 6 февраля (!) Минюст выслал мне приглашение поучаствовать в мониторинге правоприменительной практики по ФЗ-152. Получил я это приглашение 1-го апреля - вот такая шутка от стратегического объекта для России под названием "Почта России".
- Всегда отвечайте! Отвечать "ваши предложения получены" - это правило хорошего тона при переписке. Все-таки e-mail, часто используемая для связи участников проекта, - это канал негарантированной доставки сообщений, а СЭД или онлайн-порталы совместной работы (например, Битрикс24 или Мегаплан из отечественных) мало где применяется. Еще лучше, когда на каждое присланное предложение поступает ответ - принято или нет. Если нет, то почему. Гдавное подойти к этому не формально. А то помню я, как ФСБ отвечало на многие предложения по внесению изменений в проект ПП-1119, - "считаем нецелесообразным".
- Не забывайте про регуляторов! Да, так тоже бывает. Далеко не все проекты нормативных актов или концепций/стратегий готовятся по инициативе ФСТЭК или ФСБ (как минимум). Но они тоже игроки на поле отечественной ИБ и если про них забыли (случайно или намеренно), то они могут и обидеться. А это значит, что документ не пустят дальше и зарубять его на корню (даже если идея документа здравая и могла бы быть поддержана регуляторами). Таких примеров тоже полно. Проект Постановления Правительства по надзору в сфере ПДн, методичка ДИСа по защите ДБО, стратегия кибербезопасности и т.п.
- Не раздувайте штат экспертов. В психологии есть правило "7 плюс-минус 2". Именно столько экспертов должно быть в группе по разработке или экспертизе документов. Принимать предложения можно от кого угодно (наверное) и для этого даже есть идеи в некоторых проектах запускать целые краудсорсинговые платформы. Но вот анализировать их и принимать или отсекать (с учетом пункта 6) должна небольшая группа, которая гораздо эффективнее решает многие вопросы, чем скопища на 15-20-40 человек. Это и быстрее и консенсус находится лучше. Если же выслушивать каждого из 30 человек, то на заседания и обсуждения уходят часы вместо минут.
Нельзя сказать, что я открыл Америку. Но т.к. на одни и те же грабли я (и коллеги) наступают уже не раз, то решил поделиться своим мнением. Вдруг организаторы услышат и воспользуются ;-) По проектам, в которых я участвую (участвовал) могу сказать, что не было ни одного, который учитывал бы сразу все рекомендации. И это несмотря на то, что всем этим организаторам честь и хвала за приглашение внешних экспертов к работе. Но учет описанных выше 8-ми пунктов сделал бы работу продуктивней и плодотворней.
ЗЫ. Кстати, опасаться, что при анонсировании проекта по разработке нормативного акта, набежит толпа экспертов, желающих поучаствовать в процессе, не стоит. Я не видел еще ни разу, чтобы такие толпы собирались (хотя регулярно эксперты ругают регуляторов за их закрытость и непривлечение экспертного сообщества). У кого-то времени нет. Кто-то смысла не видит. Кто-то не готов очно на совещаниях присутствовать (никто еще не освоил унифицированные коммуникации для обсуждения вопросов). Кто-то только для понту включается в рабочую группу, но ни фига не делает, а еще хуже когда просто критикует, не предлагая ничего взамен. Кто-то бесплатно не работает. Причин много, но результат один - экспертов, которые готовы реально заниматься такой работой на общественных началах (а почти всегда эти работы безвозмездные) очень и очень мало.