Динамичное развитие ИТ-индустрии открывает широкие перспективы для реализации творческого потенциала работников. При этом некоторые предпочитают совершенствовать свои знания и навыки в одной специализированной, выбранной много лет назад области деятельности (чаще всего таких людей можно найти в финансово-банковской сфере), другие же хотят испытать свои возможности в разных ролях, считая, что разносторонние компетенции только увеличивают их ценность как специалистов. Сегодняшний гость нашей традиционной рубрики “Кто он, современный ИТ-руководитель” — начальник отдела сертификации Екатеринбургского научно-технического центра научно-производственного предприятия “Гамма” Андрей Бондин — принадлежит как раз ко второй группе ИТ-профессионалов. В беседе с научным редактором PC Week/RE Ольгой Павловой он рассказал о своем опыте работы в сфере ИТ, а также поделился своим видением проблем в области обеспечения информационной безопасности, деятельности руководителей ИТ-подразделений и их взаимоотношений с бизнесом.
PC Week: По специальности вы — инженер-металлург, закончили Уральский политехнический институт, но затем практически вся ваша карьера была связана с ИТ. Интересно, в чём причина?
Андрей Бондин: Так получилось, что, защитив кандидатскую диссертацию и поработав доцентом и ученым секретарем кафедры, я начал заниматься вопросами управления вузом, что, естественно, требовало использования тех или иных информационных систем. Получив практический опыт в информационном отделе учебно-методического управления вуза, я перешел на работу сначала в софтверную компанию “Адаптируемые Прикладные Системы”, занимающуюся разработкой ПО для металлургических предприятий, а позднее — в машиностроительный холдинг “Синара — Транспортные машины” в качестве начальника ИТ-отдела. С конца прошлого года я руковожу отделом сертификации в НПП “Гамма”, головной организации по информационной безопасности Минпромторга России. Таким образом, можно сказать, что на протяжении своей деятельности в сфере ИТ я побывал на разных сторонах баррикад, работая то исполнителем, то заказчиком.
PC Week: Сегодня вопросы информационной безопасности приобретают всё большую актуальность во всем мире. А как обстоят дела в этой области в России?
А. Б.: Здесь нужно выделить два аспекта проблемы. Современным руководителям ИТ-служб приходится сталкиваться с вопросами как защиты персональных данных, так и обеспечения конфиденциальности служебной информации. А поскольку эти вопросы тесно связаны, то, обеспечивая безопасность персональных данных, многие предприятия могут сразу же решать и вопросы защиты коммерческой тайны.
Более того, как известно, действие положений Федерального закона 152-ФЗ “О персональных данных” распространяется на правоотношения, возникшие с 1 июля 2011 года, поэтому, с одной стороны, государственные регуляторы, занимающиеся контролем его исполнения, неизбежно требуют соблюдения приведенных там норм, а с другой — сами компании, в первую очередь крупные, начинают понимать необходимость решения тех или иных вопросов по защите коммерческой информации. Плюс к этому следует отметить, что вопросы защиты информации очень актуальны и для всех государственных органов, где должны использоваться только сертифицированные средства защиты.
Также понятно, что нужны решения для наших оборонных предприятий, и сегодня этот вопрос очень актуален. Потому что если в обычной компании можно совершенно спокойно работать, скажем, на офисных продуктах Microsoft или использовать базы данных Oracle, то для оборонного предприятия это неприемлемо. Там, в частности, требуются СУБД, имеющие сертификаты на отсутствие недекларированных возможностей. Однако поскольку в последнее время в сфере обороны было не всё так хорошо с финансированием, в том числе и для развития ИТ, решение этих вопросов еще далеко от завершения.
PC Week: Как вы оцениваете ситуацию с реализацией требований закона о персональных данных? Какие здесь существуют сложности?
А. Б.: В принципе в законе 152-ФЗ есть всё, что необходимо, но надо не забывать, что любой закон предполагает целую систему подзаконных актов. Вот именно в этой области и требуется еще серьёзная доработка. Все подзаконные акты существуют, но проблема в том, что новые поправки к закону предполагают изменение этих актов. Кроме того, по информации с портала о персональных данных Роскомнадзора, в настоящее время рассматриваются поправки, направленные на ужесточение мер за невыполнение закона. Сегодня штраф на юридическое лицо, где были выявлены те или иные нарушения, составляет порядка 10 тыс. руб., а согласно предполагаемым поправкам к статье 13.11 Кодекса об административных правонарушениях (КоАП) РФ подобная ответственность будет оцениваться в величину от 200 до 500 тыс. руб. Таким образом, будет сформирована шкала штрафов, соизмеримых со стоимостью систем защиты информации.
Вообще же в любой современной информационной системе есть те или иные элементы средств защиты, но они, как правило, несертифицированные — скажем, аутентификация и идентификация пользователей. Сложность здесь заключается в том, что если компания создает систему защиты информации, удовлетворяющую, допустим, закону 152-ФЗ, то она может использовать только сертифицированные средства защиты. В соответствующем реестре ФСТЭК перечислено много различных средств, прошедших сертификацию, однако когда компания, используя сертифицированные средства, пытается строить систему защиты над уже действующей информационной системой, то нет никакой гарантии, что эти средства будут интегрироваться с используемым программным решением.
Конечно, более надежный путь — приобретать решения, в которые уже встроены некие сертифицированные средства защиты. Например, сегодня есть защищенный программный комплекс “1С:Предприятие 8.2Z”. Но такой способ не всегда осуществим, особенно если у предприятия нет планов по обновлению используемого ПО.
PC Week: А много ли на российском рынке подобных решений? Легко ли компаниям найти то, что им подходит?
А. Б.: К сожалению, большинство разработчиков корпоративных информационных систем находятся за рубежом, так что мало кто из них заинтересован в том, чтобы их программные продукты или встроенные в них средства защиты проходили сертификацию на российских стендах. Более того, используемые на Западе системы криптографии отличаются от соответствующих отечественных систем. И наконец, сертификация той или иной системы требует проверки всех недекларированных возможностей, а это просто несчетное число страниц исходного кода. Тем не менее, ряд продуктов зарубежных вендоров — среди них компании SAP и Microsoft — всё-таки проходят сертификацию в России.
Что же касается сертификации отечественного ПО, то здесь особых проблем нет. Просто надо учитывать, что это дело, во-первых, очень продолжительное, а во-вторых, дорогостоящее. Для получения сертификата разработчикам требуется передать на рассмотрение в компанию, имеющую соответствующие лицензии, все исходные тексты и документацию на ПО. А поскольку эти компании несут ответственность за выдаваемый сертификат, они очень тщательно проверяют предоставленный им код в соответствии со всеми методиками.
Таким образом, сегодня большинству предприятий ничего не остаётся делать, как брать и надстраивать средства защиты поверх используемых у них западных корпоративных систем, а это означает дополнительные расходы, проблемы интеграции и ряд других сложностей.
PC Week: Таким образом, получается, что обеспечение информационной безопасности требует дополнительных затрат на ИТ, а для этого ИТ-руководителю нужно вступать в диалог с бизнесом. Как, на ваш взгляд, правильно строить отношения с руководством предприятия?
А. Б.: При оценке затрат на информационную безопасность надо исходить из наличия угроз информационным ресурсам компании, а значит и бизнесу, поэтому я считаю, что главным документом, который определяет взаимоотношения ИТ и бизнеса, должна быть ИТ-стратегия, или ИТ-концепция, — неважно, как она называется. Но важно, что её следует разрабатывать и обсуждать вместе с бизнесом. И идеальный вариант — если такая стратегия или концепция будет согласована с бизнесом и формализована в виде документа.
Кроме того, ИТ-стратегия является одной из функциональных стратегий, а значит, она должна создаваться, когда функциональные стратегии по всем остальным (или хотя бы по некоторым) бизнес-направлениям уже существуют. Обычно здесь возникают сложности, поскольку в большинстве случаев довольно сложно добиться от бизнеса каких-либо сведений об имеющихся функциональных стратегиях. Но только это позволяет надлежащим образом выстраивать взаимопонимание ИТ и бизнеса. Например, для машиностроительного предприятия такой бизнес-стратегией, обеспечивающей конкурентные преимущества, являются сроки запуска в серию новых видов продукцию. В соответствии с ней концепция развития ИТ должна включать в себя внедрение каких-то конструкторских систем, позволяющих ускорить разработку этих новых видов продукции.
PC Week: Но при этом ИТ-руководителю нужно еще уметь подсчитывать эффект от инвестиций...
А. Б.: Фактически для бизнеса не суть важно, на что потратить имеющиеся свободные деньги — купить новое оборудование (допустим, станки с числовым программным управлением или обрабатывающие центры) либо вложить их в развитие ИТ. Исходя из этого, любой ИТ-проект рассматривается бизнесом как инвестиционный, и, значит, для него нужно делать технико-экономическое обоснование со всеми расчетами сроков окупаемости и получаемого эффекта.
Важно, что для каждого конкретного случая следует находить идею, которую можно предложить бизнесу в качестве технико-экономического обоснования. Одной из таких идей, на деле являющейся чрезвычайно действенной, является необходимость использования лицензионного ПО. Можно объяснить бизнесу, что если предприятие собирается работать с нелицензионными продуктами, оно рискует заплатить за них двойную рыночную стоимость, поскольку помимо уплаты штрафа придется всё равно легально приобретать это ПО. Особенно актуальна данная идея для крупных проектов, при реализации которых требуется закупать большое число специализированных систем, стóящих немалых денег.
Так что, исходя из моего опыта, могу сказать, что надо всегда конкретно доказывать бизнесу, где, как и когда он получит обратно свои деньги. Проблема здесь может возникнуть, допустим, у российских машиностроительных предприятий, которые уже давно находятся в тяжелом финансовом состоянии. Особенность инвестиционного проекта помимо всего прочего заключается в том, что инвестиции могут взяться только из прибыли. Соответственно, если рентабельность предприятия оставляет желать лучшего, то какие бы технико-экономические обоснования ни предлагать бизнесу, но на проект просто физически не найдется средств.
PC Week: Но ИТ для предприятия — это только неизбежные затраты? Или они всё-таки являются источником получения прибыли?
А. Б.: Необходимо, чтобы бизнес понимал, что он в конечном итоге существует благодаря тем или иным конкурентным преимуществам. И поэтому, если бизнес считает, что он может поддерживать свои конкурентные преимущества без использования ИТ, то он глубоко ошибается. Я даже не могу привести ни одного примера таких конкурентных преимуществ. Рассмотрим тот же случай — время запуска в серию нового вида продукции. И если бизнес серьёзно полагает, что на кульманах его сотрудники будут проектировать быстрее, чем с использованием автоматизированных систем, то он очень скоро просто-напросто вылетит с рынка.
Или же взять такое конкурентное преимущество, как более низкая себестоимость. Но как ее можно достичь, если компания не умеет точно ее посчитать? Так, руководство большинства машиностроительных предприятий даже не знает, во что обходится то или иное выпускаемое ими изделие. Причина в том, что у них отсутствует детальная информация о составе этого изделия — некие разрозненные сведения существуют только где-то на каких-то чертежах. Более того, у них зачастую нет и информации о пооперационной технологии, т. е. что потребляет и что делает каждая операция. И разве можно в такой ситуации без использования ИТ посчитать реальную себестоимость?
PC Week: Таким образом, современному ИТ-руководителю, который по своему образованию чаще всего “технарь”, приходится оперировать такими терминами, как инвестиции, себестоимость, прибыль и прочее. Где он может почерпнуть базовые экономические знания?
А. Б.: Если по-хорошему, то надо, конечно, где-то учиться. Но можно и самостоятельно овладеть этими знаниями, например, больше общаясь с менеджерами, занимающимися вопросами управления бизнесом.
Но по большому счёту, ИТ-руководителю деваться некуда. Вопрос, который ставит перед ним руководство предприятия, обычно стоит так: где технико-экономическое обоснование проекта? А если его нет, то и разговора нет. Вообще же я считаю, что нет таких областей знаний, которые нельзя было бы изучить самостоятельно. Для этого нужно только время. Одно дело, если выяснять, что такое скорость движения оборотного капитала и маржинальный доход, будет инженер-металлург по образованию, а другое — человек, который когда-то немного это изучал. Тот, кто имеет хоть какое-нибудь экономическое образование, быстрее овладеет навыками обоснования ИТ-проекта.
PC Week: А какие еще знания требуются сегодня ИТ-руководителю?
А. Б.: Здесь я хочу отметить один очень важный момент. К сожалению, большинство руководителей ИТ-службы — особенно те, кому сейчас около 40 лет и более, — не имеют технического образования в плане защиты информации. Дело в том, что эти специальности в вузах появились совсем недавно, и в результате мы имеем следующую непростую ситуацию. Так, в коммерческих компаниях есть службы экономической безопасности, сотрудники которых по своим функциональным обязанностям, казалось бы, и должны заниматься вопросами информационной безопасности, но они совершенно не разбираются в ИТ. С другой стороны, ИТ-специалисты тоже вроде бы могли этим заниматься, но они несведущи в вопросах безопасности.
Тем не менее в последнее время стали появляться такие позиции в организациях, как директора по информационной безопасности. Я полагаю, что это правильно, поскольку вопросы защиты информации — совершенно специфическая область. Но пока что большинству ИТ-руководителей приходится помимо выполнения своих прямых обязанностей одновременно ещё и вести совместную работу со службами экономической безопасности. А это всё не так просто. Один только набор подзаконных актов к 152-ФЗ — это сотни страниц текста, и чтобы их хотя бы прочитать, требуется немало времени.
PC Week: Спасибо за беседу.