Трудное испытание для отрасли ИБ или выпустить джина из бутылки

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения выложен проект Постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации» (далее – Положение). Мнения по нему уже высказали два Алексея – Лукацкий и Волков. Но документ, на мой взгляд, очень сложный и с несколькими скрытыми пластами, поэтому посчитал нужным обратить внимание на некоторые нюансы, в комментариях коллег не отраженные. Данный пост будет касаться исключительно одного вопроса – привлечения к проверкам Роскомнадзора экспертов и экспертных организаций. Его затрагивал в своем посте Алексей Волков, но я хотел бы посмотреть на эту проблему с другой стороны.

У нее есть несколько составляющих, каждая из которых требует тщательного анализа и осмысления.

Итак, в соответствии с п.9.7 Положения, для оценки и анализа мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации» (далее – закон об аккредитации). Норма не новая, она существовала и раньше, и в отношении контроля и надзора вводилась частью 2 статьи 7 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Отметим лишь пока только то, что с 1 сентября надзор в сфере персональных данных из-под регулирования данным законом выводится, значит, и нормативные правовые акты, принятые в соответствии с ним, на этот вид надзорной деятельности не распространяются, если это не оговорено особо в их тексте.

В 2012 году Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных организаций, и в реестры, размещенные на сайте ведомства, включены 30 экспертных организаций и 25 экспертов. Среди организаций преобладают интеграторы из Москвы, Питера и регионов, активно продвигающие свои услуги на рынке обеспечения соответствия обработки и защиты персональных данных, известные и не очень. Среди экспертов тоже знакомые лица, которые работают на этой ниве, остальные, смею предположить, тоже из компаний, имеющих отношения к данному направлению деятельности.

Что же предполагается возможным поручить привлекаемым экспертам и экспертным организациям? Проект Положения на этот вопрос ответа не дает, но он есть в упомянутых выше реестрах привлекаемых к проверкам лиц:

·         обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности;

·         оценка соответствия применяемых технических средств защиты информации;

·         оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных;

·         проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.

Полномочия, как мы видим, связаны в основном непосредственно с анализом технической защищенности ИСПДн, в то время, как в преамбуле проекта Положения прямо указано, что оно устанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, установленных в соответствии со статьей 19 закона «О персональных данных». Но А. Волков уже обращал внимание в своей публикации, что пунктом 24 проекта Положения предусматривается, что должностными лицами, указанными в приказе о проверке, в пределах своей компетенции проводится проверка документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных». А там, как мы помним, есть п.3 – «применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона».

Оставим пока в стороне это несоответствие. Займемся непосредственно проблемой привлечения экспертов и экспертных организаций. Для начала отметим, что должностные лица надзорного органа, проводящего проверку, и эксперты в приказе о ее проведения указываются поименно, а вот представителей экспертных организаций перечислять не предусматривается, что создает возможность привлечения к проверке неограниченного количества работников экспертной организации.

На мой взгляд, участие в проверках компаний, оказывающих услуги на этом же рынке, и экспертов из них создает, как минимум, три группы проблем.

Первая. Проблемы морально-этические. Интегратор А (для простоты будем именовать всех, оказывающих услуги на этом рынке, интеграторами, хотя там есть и другие игроки) привлекается к проверке в организации, где проект по выполнению требований законодательства о персональных данных был сделан интегратором Б. Сами понимаете, соблазн «мокнуть в воду» весьма велик, конкурент, как-никак. Как уже много раз писали и говорили наши эксперты-блогеры в сфере персональных данных, и я в том числе, закон и подзаконные акты написаны так, что их исполнение целиком и полностью зависит от трактовки, поэтому поле для «творчества» необъятное. Попутно порешать проблемы конкурентной борьбы, да еще и склонить проверяемую организацию на последующее оказание услуг интегратором Б, нарисовав ужасные картины перечня выявленных нарушений и недостатков в двух вариантах – «вы нас не приглашаете» и «вы нас приглашаете» для их исправления.

Соблазны неприятны и трудно преодолимы, особенно при отсутствии изначально соответствующей установки руководства экспертной организации или эксперта о допустимости продвижения своих услуг и соответствующих тормозов у конкретных участников процесса. Именно поэтому я вынес в заголовок поста слова про испытание для отрасли и выпущенного из бутылки джина. Загнать его обратно, в соответствии с восточными сказками, будет очень трудно. Сказка, конечно, ложь, но намек очевиден. Разговоры типа «Мы завтра начинаем работать в «Рогах и копытах» с Роскомнадзором, говорят, вы там нормативку писали и частную модель угроз рисовали, систему защиты проектировали. Что делать будем?» между топами и не очень топами интеграторов на нашем маленьком и тесном базарчике могут существенно подорвать мир и спокойствие.

Проблема вторая. Операторская. Выполнение возложенных на внешних экспертов задач предполагает глубокое погружение в ИСПДн проверяемой организации, а значит – и доступ к персональным данным. Если это должностные лица Роскомнадзора, обосновать такой доступ как-то можно, тем более, что в проекте Положения для них есть п.9.5: «получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки». Хотя надо заметить, что постановление правительства – не закон, а доступ к персональным данным без согласия субъекта на основании не закона, а нормативного правового акта закон о персональных данных не допускает.

Это общая и серьезная проблема, недавно один из наших клиентов разруливал ситуацию с субъектом, чьи данные были переданы в орган исполнительной власти в ответе на его запрос, а субъект с этим категорически не согласился. Но при любых вариантах давать доступ без согласия субъекта к его персональным данным представителям коммерческой организации оператор никак не может. И что ему делать? «Препятствовать проверке», т.е. совершать административное правонарушение? Ответа нет, а риск есть. Кроме персональных данных, в ИСПДн может быть и другая информация о субъекте, доступ к которой ограничен законом, и эксперты его получать не должны. Например, врачебная тайна (при проверке учреждений здравоохранения), тайна связи (при проверке операторов связи) и т.п. Сцилла и Харибда слишком близко, лодочка позиций оператора очень хлипкая, и все риски только его. И прецедентов, когда суды признают доступ третьих лиц к персональным данным и сведениям о частной жизни неправомерным их разглашением, достаточно. Я тоже об этом писал. Здесь, например.

Проблема третья. Тоже операторская, но другая. Во многих случаях сведения о клиентах-физических лицах относятся использующей их организацией к коммерческой тайне. И российские суды охотно соглашаются с правомерностью такого отнесения, привлекая к уголовной ответственности за попытки продать или помимо воли обладателя каким-либо способом использовать такие сведения работниками владельца секретов или соглашаясь с законностью увольнения работников за разглашение баз данных клиентов. О последнем случае стало известно несколько дней назад – работник страховой компании в очередной раз реализовал на рынке базу застрахованных лиц. Закон о коммерческой тайне четко определяет обязанность безвозмездно предоставить информацию, составляющую коммерческую тайну, органу государственной власти или заключить гражданско-правовой договор о ее передаче с контрагентом. А вот про экспертные организации он ничего не знает и поэтому не определяет. И опять выбор между препятствованием проверке и защитой своих законных интересов и прав как обладателя коммерческой тайны.

Это проблемы, которые мне показались самыми важными при анализе вопроса привлечения экспертов. На самом деле их гораздо больше. Например, на сайте Роскомнадзора в качестве основания для создания реестров экспертов и экспертных организаций указано Постановление Правительства от 20.08.2009 № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю». А оно уже год как утратило силу, и порядок совсем теперь другой, и форма заявления тоже.

Времени на еще один пост по проекту Постановления у меня уже не будет, работы много. Поэтому очень коротко о том, что мне показалось в нем новым и крайне важным. Выводы делайте сами:

·         Самое важное, по моему мнению. У Роскомнадзора может появиться право выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований закона о персональных данных. В случае неисполнения требования о приостановлении деятельности по обработке персональных данных по месту нахождения нарушителя в суд подается исковое заявление с требованием признания осуществляемой деятельности по обработке персональных данных незаконной и мер по их удалению. Информация о неисполнении требования направляется в Генеральную прокуратуру или прокуратуру субъекта Российской Федерации для рассмотрения вопроса о принятии мер прокурорского реагирования. Это может стать главным последствием принятия документа.

·         Право Роскомнадзора обращаться в правоохранительные органы, органы прокуратуры за содействием в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.

·         Периодичность плановых проверок в отношении юридических лиц – не чаще одного раз в два года, а не три, как в 294-ФЗ.

·         Узаконенные внеплановые проверки по обращениям граждан, информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушений, по итогам мероприятий систематического наблюдения, на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, в случае неисполнения требования Роскомнадзора или территориального органа об устранении выявленного нарушения требований.

·         Срок проведения документарной проверки - до 60 рабочих дней (в 294-ФЗ – 20) с возможностью продления еще на 20.

·         Проведение плановых и внеплановых проверок не требует согласования с органами прокуратуры, за исключение внеплановых проверок по обращениям граждан.

·         Никакие материалы, подготовленные привлекаемыми к проверке экспертами и экспертными организациями, к акту не прилагаются, эксперты и представители экспертных организаций акт проверки не подписывают.

·         Блокирование, уничтожение недостоверных персональных данных или полученных незаконным путем персональных данных осуществляется оператором в порядке, установленном Роскомнадзором.

·         Нарушение требований, выявленных в результате проведения мероприятий систематического наблюдения, а также анализа и оценки состояния исполнения требований законодательства подлежит устранению в срок не более 10 календарных дней (вспомним российские «длинные» праздники).

Рецептов не будет. Будет предложение – активно поучаствовать в обсуждении и подготовить ответы на 12 вопросов, поставленных на Едином портале, где опубликован проект, как уже сделал А. Волков. Вместо следующего поста на эту тему я, в свою очередь, опубликую свои ответы.

И последнее. Проект мы проанализируем 25-26 мая на курсе КП32 в Учебном центре «Информзащита» и 28 мая на семинаре «Изменения в законодательстве о персональных данных и коммерческой тайне, их влияние на бизнес» в Бизнес Школе Консультант. Курс и семинар получатся эксклюзивными, до сентября больше ничего подобного не будет. А в сентябре оценим уже не проект, а Постановление. Сомнений, что оно будет принято, у меня нет.

Про лаборатории, кнут, пряник, гадалку и суд

По давней традиции, на два периода - апрель и стык сентября-октября приходится наибольшее количество мероприятий, связанных с информационной безопасностью. Этот год – не исключение. Поэтому приходится выбирать то, что кажется наиболее интересным и близким по содержанию.

18-19 апреля – межотраслевой форум директоров по информационной безопасности VI CISO Forum 2013. Не путать с прошедшим в марте Russian CSO Summit VI, хотя, конечно, их американские доллары удивительно похожи на наши российские баксы.

Дьявол всегда в деталях. Вот за счет деталей и формируется отношение к тому или иному мероприятию. На Форуме, например, сразу четко разбили программу на две части – Лаборатория стратегии и Лаборатория практики. Хотите про проблемы и тренды – вам на стратегию. Хотите про конкретный продукт или услугу из первых рук – пожалуйте на практику. И не пытаются организаторы перемешать вендорские доклады с проблемными, чтобы народ не разбежался. Каждый волен слушать то, что ему ближе. Кстати, в умелых руках и подготовленных устах евангелиста или умного продакт-менеджера выступление про продукт/услугу – не обязательно голимая реклама с бессмысленным набором тактико-технических характеристик, никак не увязанным со сценарием использования. И на продуктовые вебинары, если они правильно организованы, народ в последнее время через Интернет хорошо собирался.

Что еще интересного. Мне лично – послушать про внутренний маркетинг и PR в деятельности службы информационной безопасности в исполнении Константина Коротнева из «Эльдорадо». О том, что надо научиться продавать сервисы безопасности внутреннему заказчику, давно уже говорят. Но мало кто делает. Поэтому и интересно. Или про «психологию внедрения нового» применительно к защите информации от Андрея Ерина из лизинговой компании CARCADE. Пару лет назад фирма, занимающаяся автомобильным лизингом, обратила на себя внимание, вывешивая на HeadHunter несколько месяцев подряд вакансию специалиста по информационной безопасности с весьма привлекательными 150 тысячами оклада. Видимо, не зря так долго искали.

В первый день после обеда Алексей Лукацкий будет вести секцию про мобильность и BYOD, особый интерес в которой для меня представляет участие руководителя направления ИБ «Яндекс» Антона Карпова. Широко известный в узких кругах интересующихся Дмитрий Козюра раскроет волнительную тему лицензирования деятельности, связанной с криптографическими средствами, в новых условиях 99-ФЗ и ПП-313.

Закончится деловая часть первого дня Вечерним дискуссионным клубом, который обсудит естественно, по требованиям трудящихся на ниве защиты, проблемы персональных данных. Состав желающих высказаться на эту животрепещущую тему собирается просто-таки «звездный» (по алфавиту, чтобы ни в чем не обвинили): А.Бондаренко (LETA), А.Волков («Северсталь»), Д.Костров (Минкомсвязи), А.Лукацкий (Cisco), А.Сычев (Банк России), А.Токаренко (традиционно на таких мероприятиях – независимый эксперт) и Д.Устюжанин (Вымпелком). Ну, а следить за порядком в таком представительном сообществе и обеспечивать возможность высказаться всем и примерно поровну попросили меня. Предполагаем, в первую очередь, сосредоточиться на вопросах участников из зала. Их, кстати, можно задать заранее, направив по адресу club@infor-media.ru. В этом случае приоритетное рассмотрение могу гарантировать.

Второй день начнется банковской сессией и параллельно – анализом практики обеспечения безопасности АСУ ТП, рассмотрением интеллектуальной безопасности и SIEM 2.0. После обеда – выходящая на первый план в последнее время проблема безопасности исходного кода, и взгляд на безопасность практика С.Голяка с Магнитки.

Заключительный аккорд Форума – Лаборатория стратегии «Охрана интеллектуальной собственности». Взявшись за его организацию, я поставил задачу рассмотреть самые разные аспекты этой проблемы. Среди обсуждаемых вопросов – защищенный (т.е. допускающий возможность обработки информации ограниченного доступа) юридически значимый документооборот, система мотивации, позволяющая защитить секреты производства пряником, и система контроля с использованием DLP, больше похожая на кнут. Я расскажу, почему при нарушении прав обладателя секрета производства лучше идти в суд, а не к гадалке с вопросом «Что дальше будет?», и как к этому походу подготовиться. Особую пикантность мероприятию придает участие в дискуссии, которая завершит фиксированные выступления, примут последовательный критик DLP-систем Алексей Волков из «Северстали» и Константин Левин, директор по продажам производителя таких систем – компании InfoWatch. Надеюсь, что будет познавательно и не скучно.

До встречи на Форуме.

Традиционная битва на арене информационной безопасности

5 октября международная выставка-конференция «INFOBEZ-EXPO» традиционно завершится битвой львов и гладиаторов под девизом "Это весело, это быстро, это мучительно". С удовольствием провожу это конкурс (шоу?) уже который раз. Такого накала страстей, таких эмоций и такой живой реакции присутствующих нет, наверное, ни на одном мероприятии по информационной безопасности.

Для тех, кто не в курсе, очень коротко «правила боя».

Семь «гладиаторов» – представителей 7 компаний-разработчиков и поставщиков средств защиты информации представляют свои наиболее интересные, с их точки зрения, решения для рынка информационной безопасности. На каждое представление отводится 10 мин, из них 4 мин – выступление «гладиатора» (без презентации, только устно), 6 мин – ответы на вопросы семи экспертов («львов»). В качестве экспертов приглашаются представители компаний-потребителей услуг информационной безопасности, обладающие большим авторитетом среди специалистов и имеющие опыт практического построения систем безопасности в роли заказчика.

Цель «гладиаторов» – убедить «львов» приобрести свой продукт. По окончании представления продуктов проводится открытое голосование «купил бы - не купил бы». Компания, продукт которой получит наибольшее количество голосов «купил бы», объявляется победителем. При равенстве голосов между «львами» проводится дополнительное совещание, «гладиаторам» (представителям компаний-претендентов) могут быть заданы дополнительные вопросы (на всех – до 10 мин), после чего проводится повторное голосование, но только по продуктам-победителям первого тура. Гладиатору-победителю вручается приз – гладиаторский меч.

Такой необычный формат всегда собирает полный зал. Страсти кипят. Во время одного из конкурсов, когда из-за форс-мажора львов-судей оказалась четное количество, голосовали в финале трижды, и все три раза голоса делились «три на три». Ведущий (я) не голосует. Пришлось обращаться к помощи зала, который традиционным жестом гладиаторских арен – большой палец вверх или вниз – и определил в конце концов победителя (см. фото). Так что девиз оправдывается полностью. Кому-то это очень весело, а кому-то – весьма мучительно.

В этом году на конкурсе, как обычно, семь решений, хороших, но совсем разных:

1.  Центр мониторинга и управления безопасностью предприятия Security Vision от компании «АйТи».

2.  Криптобиблиотека BHCryptography от «Газинформсервиса». 

3.  Решение SafeCopy для защиты конфиденциальных корпоративных документов при их обработке, хранении и печати компании «Инновационные технологии».

4.  DLP-система «Мониториум» компании «Трафика».

5.  Решение для защиты сетей от DoS/DDoS атак FortiDDoS компании Fortinet.

6.  Система предотвращения атак нового поколения Next Generation Intrusion Prevention System компании Hewlett Packard.

7.  Решение для удаленного защищенного доступа к ресурсам предприятия StoneGate SSL VPN от компании StoneSoft.

Среди гладиаторов – в основном дебютанты. Но есть один ветеран, весь такой в шрамах. По непроверенной информации, обещал порвать и конкурентов, и львов.

А львами у нас в этом году будут:

1.  Волков Алексей Николаевич, Начальник отдела эксплуатации средств защиты информации Управления по защите информации Генеральной дирекции ОАО «Северсталь».

2.  Кроликов Артем Евгеньевич, Руководитель управления ИБ ДИТ Штаб-квартиры ОАО «АльфаСтрахование».

3.  Маслов Олег Валерьевич, Начальник управления информационной безопасности ЗАО «ФосАгро АГ».

4.  Овчинников Алексей Геннадьевич, Начальник Управления по Информационной безопасности X5 Retail Group.

5.  Устюжанин Дмитрий Дмитриевич, Руководитель департамента информационной безопасности ОАО «ВымпелКом».

6.  Шубин Александр Сергеевич, Главный специалист Службы информационной безопасности ОАО Банк «Возрождение».

Седьмое имя пока держим в секрете, а то совсем интрига пропадет.

Так что милости просим. Хлеба не обещаем, но зрелище будет. 5 октября 2012 года с 14:30 до 16:00 в московском Экспоцентре на Красной Пресне (конференц-зале «ФОРУМ», павильон 7). Для всех посетителей выставки вход свободный.

DLP как термометр уровня информационной безопасности в бизнесе

В прошедшую пятницу бодро, при хорошем стечении народа, и в современном стиле с диванчиками на сцене, яблоками и огромными плазменными панелями прошла V международная конференция DLP-Russia. 

Не готов комментировать всю программу, тем более, что секции шли в трех параллельных потоках. Поэтому впечатления сугубо субъективные – от реакции на мою презентацию про судебный процесс, связанный с увольнением за разглашение коммерческой тайны, и от итоговой панельной дискуссии об охране объектов интеллектуальной собственности.

Как-то так получилось, что аналитики нашего агентства в последнее время глубоко погрузились в тему судебной практики, связанной с вопросами, традиционно относящимися к сфере информационной безопасности. Интерес к этим вопросам активно проявляют клиенты, к которым пришло понимание того, что дело вовсе не в эффективности разбора протоколов межсетевым экраном или эффективности эвристической компоненты системы предупреждения вторжений. Дело в деньгах – потерянных или приобретенных по результатам деятельности подразделения ИБ. Про эти проблемы я уже писал не раз и не два. И, тем не менее, обсуждение презентации про решение Достоевского райсуда города Обломова показывает, что для многих коллег, причем самого разного возраста, тема остается неожиданной, и к ее проблемам большинство из них не готовы (презентация здесь). 

Дискуссии последних лет о том, насколько специалистам в области ИБ необходима качественная юридическая подготовка, упирается в стену с другой стороны. Практика общения с заказчиками, как реальными - на проектах, так и потенциальными – на курсах и семинарах, показывает, что юрисконсульты наших предприятий и организаций к обсуждению проблем интеллектуального и информационного права не готовы. Они в большинстве своем – хорошие цивилисты-практики, умеющие отстоять свою позицию в суде при оценке выполнения договорных обязательств или взыскании дебиторки. Но вот исключительные права на результаты интеллектуальной деятельности, охраноспособность информации как секрета производства или правомерность обработки персональных данных без явно выраженного согласия субъекта вызывает легкую оторопь как минимум. С другой стороны, на курсах по проблемам применения законодательства о коммерческой тайне и персональным данным, особенно вне Москвы, специалистов по безопасности у меня практически не осталось. Сплошь юристы. Т.е. проблема явно есть, а ее решения пока не видно. То ли безопасники получат второе высшее и станут еще и правовиками, то ли юрисконсульты разберутся в принципиально новой тематике, что, как говорил товарищ Сухов, вряд-ли – уж очень она специфическая и требует знаний, в их обычной деятельности не использующихся. 

В этих обстоятельствах порадовала панельная дискуссия «Защита интеллектуальной собственности и информационных активов предприятия» и совсем не потому, что она прошла под моим модерированием ;). 

Порадовала в первую очередь составом участников, приглашенных организаторами.  Андрей Селезнёв, директор по развитию бизнеса компании Marussia Motors, которая обещает в ближайшее время взрыв российского автопрома, вечного Infant Terrible отечественной экономики. Рустэм Хайретдинов, последовательно и уверенно выступавший как топ-менеджер двух компаний-разработчиков софта, а не средств защиты информации. Владимир Звейник, заместитель директора по безопасности, начальник управления Федеральной уполномоченной организации «Универсальная электронная карта», в недавнем прошлом работавший в «Рособоронэкспорте» и спецслужбах.
Взгляд на интеллектуальную собственность и способы ее защиты с трех совершенно разных, не коррелирующих сторон, неожиданно оказался очень близким. Оказывается, режим коммерческой тайны, не останавливающий бизнес и не заливающий носители информации бетоном, бизнесом востребован. И соответствие требованиям регуляторов воспринимается положительно, даже если эти регуляторы бизнесу не помогают, но риски, в первую очередь, государственные, создают. И нормотворчество, которое часто пытаются назвать «бумажной безопасностью», нужно, если, конечно, это не попытка прикрыть 50-ю сантиметрами бумаги известное место специалиста по ИБ. И нематериальные активы, и их стоимость могут быть понятны не только бухгалтерам, но и безопасникам, если они эти активы защищают.
Безусловно, нюансы есть. Рустэм говорил о скорости бега, позволяющей оторваться от конкурентов, пока они будут анализировать выпущенные лидером миллионы строк кода. Андрей прозрачно намекал на правильный выбор юрисдикции для защиты своих исключительных прав на новый узел автомобиля или изгиб его крыла, а также о правильной мотивации персонала. Владимир был более традиционен и не сомневался в действенности режима.

Но главным было то, что люди из совершенно разных сфер деятельности, действительно заботящиеся об исключительных правах на защищаемую информацию, могут договориться. Если они говорят о бизнесе, о прибыли и об убытках, о способах их взыскания. Если говорят об организации работы персонала, который знает все, но может это все отнести в клювике к конкуренту, а может стать грудью на защиту, когда это пытается сделать его коллега.

Конференция DLP – идеальное место для таких дискуссий. Потому что DLP-система (Data Leak Prevention - система предотвращения утечки информации) – практически единственное средство информационной безопасности, решающее исключительно бизнес-проблемы. И если организаторы конференции в следующем году продолжат эту линию, вовлекая в обсуждение топ-менеджмент, владельцев бизнес-процессов, юристов, финансистов, у конференции могут появиться совершенно новые качества. И тогда она станет уникальной на рынке.