14 Ноября, 2014

Это я Вам как эксперт говорю!

Ксения Шудрова
Здравствуйте, коллеги! Вечером пятницы хочется поговорить на философские темы. Сегодня я хотела бы обсудить с Вами понятие "эксперт" в контексте информационной безопасности. Вдохновил меня на написание этого поста 22 выпуск Науки 2.0 под названием "Виктор Вахштайн: слово «эксперт» превращается в ругательство" (послушать можно  здесь ). 
Вообще мне всегда было интересно, когда специалист начинает именовать себя экспертом? Должно пройти n трудовых лет, диссертацию нужно защитить, поучаствовать в k-проектах? Чисто интуитивно понятно, что человек, разбирающийся в каком-либо вопросе достаточно глубоко, имеющий опыт работы, является экспертом. Мне кажется, лучший вариант - когда приставку "эксперт" добавляют к Вашей фамилии другие люди, причем разбирающиеся в вопросе, представители сообщества, возможно профессиональные СМИ. Но как оценить себя самостоятельно? :) 
Может показаться, что вопрос действительно философский и практического смысла обсуждать его нет, однако на экспертных оценках без преувеличения строится вся информационная безопасность. Как создать эффективную систему защиты информации, оценить возможный ущерб, определить актуальные угрозы - точный ответ не даст ни один нормативный акт. Экспертное мнение решает почти все (не стоит забывать про ограниченный бюджет:)). И в то же время к самому эксперту никаких требований не предъявляется, за исключением того, что при приеме на работу с нас в основном требуют наличие образования по специальности и стажа работы (тоже не особо является показателем). 
Для крупных компаний с развитой ИБ-структурой ситуация обстоит не так уж плохо - есть и обучение, и опытные коллеги, которые подскажут "начинающему эксперту", проводятся аттестации и другие проверки знаний. Но есть компании, которые еще вчера ничего не слышали об информационной безопасности, а сегодня у них появился единственный специалист, мнение которого оспорить некому. Когда-то я в такой компании работала, начинала еще студенткой, и честно говоря, мои решения были тогда далеки от идеала, но это я понимаю сейчас, а когда на мои плечи свалилась организация системы защиты информации с нуля, приходилось делать быстро и не всегда правильно. 
Недавно в одном из профессиональных журналов прочитала неплохую статью о том, к чему может привести несоблюдение законодательства в области защиты персональных данных, но финал заметки меня несколько покоробил. Там говорилось, что бухгалтеру очень тяжело изучить все законодательство по ПДн и написать необходимые документы, поэтому авторы предлагают использовать онлайн-сервис разработки таких документов. Вот так мнение бухгалтера может стать экспертным в ЗИ.
Продолжая тему совмещения обязанностей, нельзя не упомянуть про сисадминов-безопасников, кадровиков и юристов-безопасников. Все такие же эксперты. Кстати говоря, еще широко распространено мнение, что защита информации - элементарная вещь (поспрашивайте айтишников, если не верите:)). Здесь я немного мысль потеряла, потому что пришлось чинить зарядное от ноутбука, перегрызенное нашим горячо любимым котом. Этот же кот послужил источником вдохновения для одной из моих статей ( Приучение к лотку и защита информации ). Можно сделать определенный вывод о том, что кота в лоток ходить научить можно, только он еще что-нибудь придумает :)
Извините, отвлеклась. Проблема экспертов хорошо видна на курсах повышения квалификации. Один раз я была слушателем на замечательных курсах от одной крупной компании, семинар вела женщина, которую представили экспертом в области закона "О персональных данных". Сначала она рассказывала про особенности кадрового учета и об организационных мерах защиты персональных данных и было достаточно интересно, но когда речь пошла о мерах технической защиты - мои глаза стали похожи на блюдца :) Вы бы удивились, как рядовой пользователь представляет себе процедуру создания системы защиты информации. Было забавно, когда она называла ФСТЭК "ФЭЭСТЭКА". Самое печальное заключается в том, что слушатель курса может отличить эксперта от неэксперта только если сам уже хоть немножко "эксперт". Такой вот парадокс.
Не хочу высказывать призыв о стандартизации и введении ЕГЭ для ИБшников, но проблема определения компетентности существует и ее надо решать. А как думаете Вы, уважаемые эксперты? :)