Как не завалить забор

Информационные технологии быстро меняются, и приходится, как кэрроловской Алисе, бежать, чтобы не сдать позиции. Однако в сфере информационной безопасности на это накладывается не менее быстро меняющееся российское законодательство, без знания которого в ИБ создавать стартап не просто рискованно – смертельно (для него) опасно. А угнаться за такими изменениями, ой, как непросто!

Вообще, сфера ИБ намного разнообразнее информационно-технологической. Она включает не только программно-аппаратные и архитектурные решения, но и организационные, и, как уже упоминалось, юридические аспекты. Вполне можно представить себе стартап, оказывающий консультационные услуги по поводу хитрых и нестандартных способов составления документов, удовлетворяющих всем требованиям действующего законодательства. «Всем» – разумеется, по возможности, т.к. наши законы, порой, противоречат друг другу, и составление подобных документов – задача нетривиальная.

Не менее вероятен для ИБ стартап, помогающий сформировать и реализовать пул организационных мероприятий при внедрении каких-то технологий или продуктов. Ведь, к примеру, не определив процедуры допуска персонала, невозможно внедрять межсетевые экраны или системы DLP.

Поэтому, если вести речь о компетенциях, которыми должен владеть стартапер в ИБ, их спектр, с одной стороны, гораздо шире, чем для сферы ИТ, но, с другой – сами стартапы здесь разнообразнее, поэтому и набор таких компетенций в значительной мере зависит от их специфики и ниши.

Впрочем, ряд соображений здесь все же высказать можно.

Во-первых, как и любому стартапу, необходимо наличие компетенций в области коммерции. Финансы, бухгалтерия, документооборот, маркетинг… Конечно, большинство из этого можно отдать на аутсорсинг, но не имея вообще никакого представления о той же бухгалтерии, невозможно оценить компетентность нанимаемого персонала и легко попасть в зависимость от неумелых специалистов, которые могут поставить под угрозу весь бизнес.

Поэтому хотя бы общее представление о коммерции стартаперу иметь необходимо. А тем, кто работает в ИБ – втройне, т.к. компании этой сферы находятся под пристальным вниманием государства, и любая ошибка может оказаться фатальной. Тем более, если она совершена из-за незнания тех или иных законов, регулирующих данную отрасль.

К примеру, многие ли начинающие свой, пусть крошечный, бизнес знают, что если документы системы учета кадров хранятся на бумажных носителях, то они должны в обязательном порядке убираться в сейф? А когда они хранятся в электронном виде, то по нашему законодательству необходимо разворачивать подсистему защиты персональных данных (см. ФЗ-152). И неважно, сколько в компании сотрудников, даже если один.

Копнув еще глубже, знание законодательной базы, регулирующей информационную безопасность, для стартапера в этой сфере не просто желательно – обязательно. Рассмотрим пример – тесты на проникновение, которые часто превращаются в борьбу сумо: компания, которая проводит такой тест, приглашает специалистов, часто со стороны, и они пытаются найти уязвимости в развернутых системах. А специалисты по ИБ или системные администраторы самой компании ведут активное противодействие в режиме реального времени. Абсолютно неуязвимых систем не существует, поэтому, проникновение – это лишь вопрос усилий и времени. Но любое неосторожное действие при таких тестах, которые часто документально никак не оформляются, попадает под действие статей 272-274 УК РФ.

Во-вторых, «чайников» среди ИБ-стартаперов не бывает по определению. Человек/команда, которые замыслили создать свой бизнес, как правило, имеют солидный бэкграунд в одной из областей информационной безопасности – опыт и знания. И они, основываясь на этом уже существующем фундаменте, нашли какое-то решение некоей проблемы, которое можно превратить в рыночный продукт.

Но вот этот момент – «можно превратить» – чаще всего и оказывается камнем преткновения для тех, кто прекрасно ориентируется в своей нише ИБ, но не обладает компетенциями в смежных областях. Ведь рыночный продукт – это не сферический конь в вакууме, он не будет востребован, если окажется неработоспособным в уже имеющемся на рынке окружении. Например, если рассматривать какой-нибудь новый антивирусный алгоритм, то стартаперу может не хватить знаний по файерволам или по анализу событий в операционных системах. Те же, кто планирует заниматься DLP, могут иметь ощутимые пробелы в функциях межсетевого экранирования или VPN-соединений, и наоборот.

Да и само рыночное окружение имеет свои особенности. К примеру, согласно российскому законодательству, должна использоваться только отечественная криптография, но наши средства криптозащиты не взаимодействуют друг с другом. Если стартап использует подобные средства и заинтересован (а как же иначе?) в большом количестве клиентов, а у тех, в свою очередь стоят где ViPNet, а где и S-terra, то стартапу волей-неволей придется иметь все эти средства криптозащиты у себя. Добавьте сюда еще и тот факт, что наши средства криптографии никак не взаимодействуют на уровне протоколов ни со средствами межсетевого экранирования зарубежных производителей, ни с системами идентификации пользователей. И без таких знаний стартап если не обречен, то его путь будет весьма тернист и затратен.

Вот и получается, что стартаперу в сфере информационной безопасности необходимо:

• иметь хотя бы общее представление о коммерции;

•  непрерывно развиваться в выбранной нише, чтобы ориентироваться в быстро меняющихся технологиях и законодательстве;

• неплохо ориентироваться в областях, смежных с его продуктом/услугой.

Если первые два пункта не нуждаются в особых комментариях, то последний может вызвать определенные сложности. В самом деле, что собой представляет это самое окружение? Как определить – что именно нужно, и насколько глубоко требуется в него погружаться? А главное – где и как все это изучить?

Если, опять-таки, первые два вопроса связаны со спецификой самого стартапа, и сейчас невозможно дать какие-то общие рекомендации, то ответов на вопрос «где и как», в общем случае, два: самостоятельно – глубоко, нарабатывая собственный серьезный опыт, но и тратя на это значительное время. Или на курсах – это существенно быстрее, но плюсов без минусов не бывает.

Забегая вперед, отметим, что главное здесь – понимать, что и зачем нужно изучать. Чтобы получить ответ, надо уже знать его большую часть. И тогда будет легче сориентироваться в огромном разнообразии учебных курсов на рынке и выбрать те, которые лучше всего подходят для решаемой задачи.

К примеру, стартап связан со встраиванием антивируса в межсетевой экран, т.е. это решение на стыке принципиально разных сущностей. И каждую из этих сущностей надо изучать. Понадобятся и знания операционных систем, и знания сетевых протоколов, и знания всех файерволов, которые сейчас существуют – это только навскидку. Нигде сразу же и в комплексе, да еще и с раскрытием всех вопросов взаимодействия этому не учат. Придется собирать пул курсов по отдельности.

При этом, если требуется освоить уровень операционных систем межсетевого экрана, то бесполезно идти на авторизованные курсы по администрированию межсетевых экранов. Нужного уровня глубины там не дадут. А вот если нужно просто познакомиться с принципами работы и областью применения межсетевых экранов, то можно сходить на любой авторизованный курс от любого производителя, и в общем и целом этого будет достаточно.

Поэтому при выборе способа изучения окружения своего продукта через учебные курсы, стартаперу необходимо заранее и четко сформулировать свои цели и уже иметь на руках список вопросов, на которые он хочет получить ответы. И осознавать, что в большинстве случаев для их получения придется проходить несколько разных курсов, ни один из которых не сможет дать ответы не только на все – на большинство вопросов.

При этом формат обучения важен только в одном случае – когда речь идет об обучении, необходимом для получения лицензии. Здесь придется проходить строго определенные, согласованные и сертифицированные курсы. В остальном же – неважно. На сегодняшний день электронное обучение достигло уже такой степени эффективности, что вполне может составить конкуренцию традиционному очному, а уж учитывая сокращение накладных расходов на дорогу в учебный центр и гибкий график занятий – и подавно для стартапа это может оказаться решающим фактором.