«Управление IT c ITIL» и «Защита персданных по 152-ФЗ»

«Управление IT c ITIL» и «Защита персданных по 152-ФЗ»

Что новенького на факультетах DevOps и информационной безопасности GeekUniversity
4 минуты5201

В GeekUniversity мы часто делаем совместные факультативы с крутыми компаниями на IT-рынке. И недавно список наших партнёров пополнился системным интегратором «Азон» — одним из лидеров рынка по предоставлению IT-услуг, от IT-инфраструктуры до проведения специальных исследований и проверок технических средств.

Один курс, для факультета DevOps, посвящён ITIL, другой, для факультета информационной безопасности — защите персональных данных. О чём конкретно там пойдёт речь, на какую аудиторию рассчитаны курсы и почему их стоит посмотреть — всё это мы выяснили у Игоря Пестрецова, создателя курса, руководителя направления системной интеграции «Азон».

Начнём по порядку. Для непосвящённых — что такое ITIL и зачем это на факультете DevOps?

ITIL — это библиотека, сборник рецептов. По сути — знания, накопленные за всё время существования IT-сферы, с целью понимания, как организовать рабочий процесс в компании для повышения эффективности. Это касается программных продуктов, конкретных практик, организации взаимодействия структур, документации и всего остального. В общем, студенты DevOps здесь наиболее подходящая аудитория.

Насколько ITIL сегодня актуален?

Больше, чем это может показаться. Рынок IT-компаний можно разделить на 4 группы:

  • Внедрили ITIL и получают от этого реальные дивиденды.
  • Внедряют ITIL, но в силу низкой компетенции не получают требуемой пользы.
  • Внедряют ITIL без всякой на это причины.
  • Не внедряющие ITIL, потому что не видят выгод или это просто не требуется.

К сожалению, компаний, попадающих под вторую и третью категории очень много, поэтому важность нашего курса не стоит недооценивать.

Чему конкретно посвящён курс?

По большому счёту это вводная лекция по ITIL, три урока по 25 минут. Мы не ставим цели впихнуть в это время всевозможные кейсы. Гораздо важнее на данном этапе объяснить студентам, что это за подход, кому и зачем он нужен.

Если кратко – нужен всем?

Нет, отнюдь. Маленьким компаниям, которые считают что у них всё хорошо работает и без ITIL — не имеет смысла внедрять. Но даже в тех компаниях, где это действительно нужно, к внедрению ITIL надо подходить с умом — далеко не весь штат сотрудников должен быть глубоко посвящён в тему, многим достаточно общего понимания.

Кому же надо изучать?

Прослушать вводный курс, думаю, будет полезно для всех ИТ-специалистов. А вот изучать ITIL более углублённо, я бы рекомендовал уже состоявшимся руководителям ИТ-подразделений. Потому что это довольно сложная тема, которая требует реальных ситуаций и инцидентов.

Что делать студентам, которые проникнутся идеей изучить ITIL подробнее после вашего курса?

Литературы и ресурсов хватает, но большинство из них на английском языке. Поэтому если у вас нет сиюминутной потребности в изучении или отличного знания языка — лучше всё-таки изучать ITIL на курсах. Возможно, если будет такая потребность, мы запустим углублённый курс по ITIL на платформе GeekBrains.

Помимо ITIL, вы запускаете курс о защите персональных данных. Вот уж что действительно, касается каждого из нас. Чему он посвящён?

Если вкратце — есть федеральный закон №152-Ф3 «О персональных данных», регламентирующий большое число мер, обязанностей, описывающий многие фундаментальные понятия. В законе вводятся важные определения, а также указаны требования, необходимые для защиты ПДн, часть мер описывается в других нормативных документах, на которые есть отсылки из Закона, например ПП1119, Приказ ФСТЭК 17 и 21 и т.д. 

Безусловно, каждый может открыть этот закон и изучить 25 статей, но, как показывает практика, использовать его правильно без посторонней помощи получается далеко не у всех. Всё потому что законы пишут «сложным языком».

Кажется, что он появился лишь несколько лет назад, а использоваться стал и вовсе недавно.

Этот закон вступил в силу 27 июля 2006 года. В мире подобные законы существуют с семидесятых годов прошлого века, но тогда, по понятным причинам, в нашей стране актуализировать их не было смысла. Первый международный договор о защите ПДн был принят Советом Европы в 1981 году, это была «Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных». Позже, когда Россия готовилась вступать в ВТО, одним из условий было подписание вышеупомянутой конвенции, принять подобный закон уже было необходимо. 

Заговорили о нём относительно недавно по нескольким причинам:

Современная информационная инфраструктура. Данные людей хранятся в информационных системах, а информационные системы имеют выход в сети общего пользования. Подавляющее большинство владельцев информационных систем катастрофически мало внимания уделяли защите от утечек. Это позволило мошенникам удалённо воровать персональную информацию.

Количество подобных неправомерных действий со временем многократно увеличилось. Вспомните сколько за последние несколько лет было новостей об утечках ПДн, в том числе в очень крупных корпорациях (тот же Сбербанк). Или, например, число спам-звонков и СМС от компаний, которые, казалось бы, не могут иметь доступ к вашей информации. Сравните их число 10 лет назад и сейчас. 

Регулирующие органы начали массово проводить проверки, направленные на выявление нарушений закона. Были введены более серьёзные санкции. К примеру, сегодня максимальный размер штрафа для юридического лица составляет 75 000 рублей. Но это если выявлен лишь один эпизод нарушения, если несколько — итоговая сумма может быть в несколько раз больше.

Вряд ли знание этого закона поможет конечным пользователям.

Дело не столько в знании закона пользователями, сколько в желании и умении компаний исполнять его. Во-первых, как я уже сказал, со стороны государства сейчас куда больше контроля. Во-вторых, понемногу до всех доходит реальная ценность данных. Если относительно недавно лишь крупные компании защищали своих клиентов, то сейчас это становится повсеместной практикой.

Есть какой-то набор ПО, шаблонов, документов, директив, с которыми можно быстро и просто обеспечить соответствие 152-ФЗ?

Безусловно, есть набор инструментов, облегчающих этих процесс. Но здесь, как в соблюдении любого закона, очень многое зависит от человеческого фактора и общей организации. Защита информации требует комплексного подхода, и о его сложности, в том числе, мы поговорим на нашем курсе.

Правильно я понимаю, что и этот курс рассчитан на широкую аудиторию, в том числе не только на тех, кто связан с информационной безопасностью? 

Да, правильно. Сам закон рассчитан на максимально широкую аудиторию, так как помимо требований к защите ПДн, в нём прописаны права и обязанности в том числе и физических лиц.

Будем рады видеть всех студентов факультетов DevOps и информационной безопасности у нас на курсах!

программированиеdevops
Нашли ошибку в тексте? Напишите нам.
Спасибо,
что читаете наш блог!
Posts popup