ISO 27001 в Росії: модно і безглуздо

Ні для кого не секрет, що в багатьох організаціях можна бачити кричуще невиконання вимог не тільки сертифікатів якості або ІБ, а й елементарного комфорту. Щоб не бути голослівними, наведемо кілька прикладів. Так, у Самарському міжнародному аеропорту відсутня не тільки бездротова мережа, але навіть розетки в залі очікування, отримати відповідь на питання про свіжість продуктів харчування в місцевій забігайлівці неможливо, повідомлення про затримку рейсу спізнюються на півтори години, "доброзичливість" персоналу нагадує про радянське сервісі. І так працює не тільки в аеропорту Самари.


Особливо колоритно ця ситуація виглядає на тлі обслуговування в зарубіжних аеропортах, наприклад, в Хітроу (Лондон), де навіть на міжнародних рейсах нікого не змушують зі спадаючими без ременя брюками тягнутися через рамку металошукача в поліетиленових пакетах на босу ногу. У деяких вітчизняних аеропортів справа доходить до смішного: спеціально були закуплені "рентгенографічні" кабіни, які дозволяють проходити огляд, не знімаючи взуття і не виймаючи металеві предмети з кишень. Однак російські авіаслужби безпеки доходять до абсурду і все одно змушують босоніж і без металу проходити через ці кабіни.


У Самарському міжнародному аеропорту відсутня не тільки бездротова мережа, але навіть розетки в залі очікування


І все це на тлі того, що для боротьби з терористичною загрозою з серпня 2006 року заходи безпеки в аеропорту Хітроу були багаторазово посилені … але не на шкоду пасажирам. Але повернемося до самарському аеропорті. Це єдиний з російських аеровокзалів, який має сертифікат системи менеджменту якості ISO 9001:2000, у т.ч. і в області обслуговування пасажирів. Страшно уявити, що ж тоді відбувається в інших …


Не варто, однак, думати, що все вищесказане стосується лише до регіональних аеропортів. Вищезгаданий сертифікат на систему менеджменту якості мають багато російських, і в тому числі московські компанії. Серед них вирізнилася керуюча компанія "Естейт-Сервіс", яка змінила на "посту" ДЕЗ в московському районі Куркино. Ця фірма також має сертифікат відповідності ISO 9001:2000. Однак у приміщенні колишнього Деза можна побачити облуплені стіни, підлогу і стіни з бітою або відсутньою плиткою … Про житловий законодавстві тут, схоже, взагалі забули, скрізь панує відверте хамство і шантаж … Класика радянського обслуговування в "елітному" та експериментальному районі, який нещодавно відвідав Путін на пару з Лужковим. А сертифікат є всього лише черговою спробою ввести споживача в оману, так як реально він нічим не підкріплений.


Таке розходження слів і справи змушує задуматися про те, наскільки відповідають сертифікати відповідності стандарту ISO 27001 реальному стану справ з безпекою в компаніях, ці сертифікати / атестати отримали. А головне, наскільки вони взагалі потрібні і чому багато російських організації так прагнуть їх отримати?


Навіщо потрібен сертифікат з ISO 27001


Всі причини можна умовно розділити на 3 типи: "дійсно потрібно для справи", "про всяк випадок" і "а чому б і ні". Незважаючи на те, що вартість сертифікації досить велика, бувають ситуації, добре описувані таким монологом "Я що лох?! У братана є, а у мене немає!" або "Це ж модно". На жаль, таке, хоч і рідко, але буває. Інші, теж не самі правильні причини, що спонукали ту чи іншу компанію зайнятися сертифікацією, можуть бути наслідком роботи інтегратора або консультанта, який "запудрити" мізки клієнту, або просто результатом наказу "зверху" (без чіткого розуміння необхідності такої сертифікації).


Правильними ж причинами можна назвати вимоги бізнесу, необхідність виходу на новий рівень, законодавча директива, створення цінності для акціонерів або клієнтів, підвищення вартості компанії (бізнесу).


Буває й так, що просто хочеться підтвердити, що в організації все добре з ІБ. Однак у цьому випадку варто думати не про сертифікацію по ISO 27001 – це все одно, що стріляти з гармати по горобцях. Можна обійтися менш дорогим аудитом чи використанням спеціальних інструментальних засобів перевірки відповідності.


Про роль безпеки в сучасній компанії


Якщо подивитися на будь-яку компанію, то, згідно Дагу Енгельбарту, всі її функції і процеси можна розділити на 3 категорії. По-перше, основна діяльність підприємства, спрямована на "заробляння грошей". Наприклад, випуск продукту, надання послуг і т.д. По-друге, функції поліпшення основної діяльності. Наприклад, управління ефективністю постачань, оптимізація витрат та ін Потім, функції вдосконалення попередньої категорії. Наприклад, менеджмент якості. Причому якість не як відповідність якимось формальним вимогам (РД або ТУ), а як цінність для споживача. Якщо він цієї цінності не бачить, то, незважаючи на різноманітні сертифікати, нагороди тощо, він не оцінить новий продукт, послугу або процес.


Як не сумно це зазначати, але ІБ не відноситься до першої (виключаючи послуги MSS) категорії функцій. Логічно припустити, що вона належить до другої категорії, але й тут не все так просто. Далеко не кожен може показати, як безпека впливає на зниження витрат або зростання ефективності того чи іншого процесу. А ось управління ІБ належить швидше до третього типу функцій.


Досить цікаво спостерігати спробу поліпшення процесів ІБ (тобто третю категорію), якщо всі інші і, часто навіть більш важливі, процеси в компанії не збудовані і здійснюються абияк. Рекламований інтеграторами та консультантами "якісний стрибок" більшості організацій не під силу, але вони все одно йдуть на цей крок до задоволення сертифікує і сертифікується сторін. У результаті задоволені всі – одні отримали сертифікат відповідності кращим практикам, інші поповнили свій гаманець дзвінкою монетою. А результату як не було, так і немає.


Про те, що сертифікується


Не варто забувати, що за ISO 27001 сертифікується ПРОЦЕС, а не компанія і не система захисту. Це одне з ключових відмінностей цього стандарту від "Загальних критеріїв" або вимог до атестації автоматизованих систем. Ось це часто не беруть до уваги або просто не розуміють. Якщо у вас сертифікований один процес, то є безліч інших процесів, які й можуть стати тими самими слабкими ланками. Не можна говорити "Наша компанія сертифікована по ISO 27001" – це в корені невірно і говорить про нерозуміння стандарту.


Які точно процеси ідентифікувати для подальшої сертифікації стандарт не визначає. Ця гнучкість стандарту робить його одночасно універсальним і складним у впровадженні для більшості компаній, які не володіють відповідною експертизою і кваліфікацією. При цьому основна складність виникає не з точки зору управління безпекою, а з точки зору правильної ідентифікації процесів.


Наприклад, дуже важливе розуміння самого терміну "процес". Хтось сприймає це просто. Все, що робить підрозділ ІБ і є процес забезпечення інформаційної безпеки. Однак це занадто просте і не завжди правильне тлумачення. А як же наскрізні процеси, які пронизують відразу декілька підрозділів? Такими процесами дуже складно управляти, контролювати і вимірювати їх ефективність. Більше того. Їх власниками можуть бути неспеціалісти в галузі ІБ. Якщо російська компанія, що одержала сертифікат на ISO 27001, змогла зробити це саме для такого процесу, то перед нею можна зняти капелюх. Якщо ж мова йде просто про сертифікацію "процесу ІБ" всередині самого відділу захисту інформації, то це не більше ніж профанація ідеї. На думку фахівців, саме наскрізні процеси (тобто використання горизонтальної, а не вертикальної структури в компанії) і інститут їх власників відображає справжню суть процесного підходу. При цьому при правильній постановці процесу його власник практично не бере участь в оперативному управлінні, покладаючись на розроблений алгоритм і чітко задані кордону (SLA).


Як стверджував Едвард Деммінг, основоположник системи управління якістю, "завдання менеджменту – вдосконалення системи, а не постійні втручання в оперативну діяльність". Саме цим і повинен займатися CISO. І це важлива відмінність в розумінні ролі CISO в Росії і на Заході. У нас керівник з ІБ як і раніше займається оперативною діяльністю, в той час як його основне завдання – створення цінності для споживача. Тому власник процесу ІБ і керівник служби ІБ – це не завжди одне і те ж обличчя. Хоча за наявності в компанії CISO, що знаходиться на правильному рівні ієрархії, він і буде виконувати роль власника процесу (або процесів).


У колишньому ДЕЗе московського району Куркино можна побачити облуплені стіни, підлогу і стіни з битою плиткою


Ось тут починаються певні складності. Для того щоб процес був результативним, його власник зазвичай намагається (або, як мінімум, мріє) захопити всі доступні ресурси … можливо навіть на шкоду іншим процесам. Не допустити цього і оптимізувати використання ресурсів і є завдання функціональних керівників. Проте найбільша небезпека, на думку Деммінга, – це оптимізація "у своїх інтересах", на шкоду інтересів компанії і бізнесу. А у випадку з ІБ ця небезпека проявляється з максимальною чіткістю, тому що ресурси на неї або не будуть виділятися зовсім, або їх буде недостатньо для ефективної і результативної роботи процесу. Тому так важливо налагодження контакту з лінійними менеджерами та керівниками функціональних підрозділів при побудові наскрізного процесу ІБ.


При впровадженні процесного підходу необхідно враховувати, як мінімум, 2 важливих складових. Технологія виконання процесу (тобто як виконується діяльність, яка описується процесом) і технологія управління процесом (тобто як ця діяльність управляється). Друга частина теж ділиться на організацію процесу і координацію його виконання, що дуже важливо саме для наскрізних процесів. Знову ж таки, коли говорять про ISO 27001, зазвичай мають на увазі тільки другу складову (система менеджменту). Але якщо у нас немає того, чим керувати, або ця діяльність не налагоджена, як можна впроваджувати систему управління?


Суть будь-якого процесного підходу – досягнення кращого результату, ніж є зараз. Результат же оцінює споживач, а не той, хто "рулить" тим чи іншим процесом. Якщо ми впроваджуємо або покращуємо якийсь процес, який потім отримує найкращі "оцінки" у всіх, крім споживача, то гріш ціна такому процесу – споживач буде намагатися обійти його всіма правдами і неправдами. Це пояснює багато невдачі з впровадженням будь-яких незручних у використанні, "важких" систем захисту, які хоч і вирішують проблеми з вірусами, хробаками, витоками, НСД і т.д., але в багнети сприймаються користувачами.


Багато дуже вже багато говорять про процес, забуваючи, заради чого все це робиться. Процес задля процесу нікому не потрібен. От, припустимо, впровадили ми проект з управління процесом ІБ. А який ефект досягнутий? Що це дало? Зазвичай всі хваляться отриманим сертифікатом, а не результатом поліпшення діяльності компанії, для якої цей процес і впроваджувався. Начебто все зробили, як написано в стандарті і пов'язаних документах, але ефект не видно або його ніхто не може порахувати. А адже ISO 27001, як і ряд інших "безпечних" стандартів – це набір кращих практик, Тобто в їх основі лежить отримана в реальному житті віддача від впровадження тих чи інших захисних технологій або заходів. Так чи варта шкурка вичинки? Або знову впровадження було формальним, лише заради заповітної папірці, яка не є фінальною стадією в процесі управління безпекою, як вважають деякі.


Що не так, або в чому російська специфіка?


То що ж не дає нам ефективно впроваджувати систему менеджменту і процесний підхід в ІБ? Вся справа у відсутності чіткої системи, орієнтованої на результат, що має конкретні цілі і вимірної на кожному етапі. При цьому треба розуміти, що безпека перебуває в гіршій ситуації, ніж, наприклад, фінанси, у яких є хоча б підсумкові показники, які визначають успіх чи невдачу в бізнесі. В безпеці зазвичай немає ні кінцевих підсумкових показників, ні тим більше, системи оцінки створення цінності для споживача на кожному етапі. А в такій системі дуже важливий вибір цілей, які на відміну від фінансів повинні бути скоріше якісними, ніж кількісними. І цілі ці повинні пронизувати всі процеси ІБ, від стратегічних до операційних. Причому це відноситься до всієї ланцюжку створення цінності для споживача; і не варто забувати, що найбільш цікаві і складні саме наскрізні процеси.


Вся ця система "запрацює" тільки в умовах дотримання інтересів всіх учасників уже названої ланцюжка створення цінності. Іншими словами, всі цілі і показники їх оцінки повинні бути збалансовані. Це слово виникло не випадково. Адже не дарма система збалансованих показників стала актуальною в останні кілька років. Знайти своє застосування вона може і в області інформаційної безпеки. Хоча це і не просто. Особливо враховуючи, що факторів, що мають цінність для споживача, може бути декілька. Також як і клієнтів, процесів і ланок у ланцюжку створення цінності. У результаті ми маємо дуже великий клубок переплетень і зв'язків, які необхідно збалансувати. А завдання це непроста з ряду причин.


Одна з них полягає в тому, що система управління (хоча часто використовується більш модне слово "менеджменту") в Росії – поки з області теорії та концепції, а не успішної практики. Процесний підхід, описаний ще в стандарті ISO 9001:2000, міцно увійшов у життя багатьох компаній у всьому світі. Я маю на увазі сам підхід, без прив'язки його до безпеки. Але для Росії він ще не є стандартом – ми тільки починаємо його впроваджувати в наше життя. Та й лягає він на зовсім іншу грунт, ніж на Заході. Там це норма, у нас поки в новинку. Тому багато незрозумілі для нас речі і терміни тлумачаться по-своєму, в міру розуміння. А воно не завжди збігається з думкою розробників процесного підходу.


З цього випливає і друга причина: легіони консультантів під егідою підготовки до сертифікації за 27001 пропонують якісь свої трактування і розуміння цього стандарту. Практично жоден з них сам себе не сертифікувало. І далеко не завжди це пояснюється прислів'ям "чоботар без чобіт". Як може компанія з п'ятьма або навіть трьомастами співробітниками готувати до сертифікації монстра в десятки тисяч людей, з сотнями різних процесів, про які консультант не завжди має уявлення.


У всьому світі розвиток стандартів менеджменту йшло логічним шляхом. Спочатку управління компанією і окремими процесами в ній, потім управління безпекою. У нас, не налагодивши управління всім бізнесом, намагаються впроваджувати управління цією "другорядної" або навіть "третьорядною" завданням. У ряді випадків це намагаються робити паралельно, але ситуація від цього краще не стає.


Незважаючи на досить довгу історію, стандарт ISO 27001 поки так і не перетворився в Росії з абстрактній теорії в успішну практику. Потрібен час. Для споживачів. Для консультантів. Для регуляторів. А поки … Не хотілося б стикнутися з ситуацією, коли управління ІБ (і сертифікація цього процесу) у нас буде здійснюватися формально, як в більшості випадків з ISO 9001:2000. Це дискредитує саму ідею сертифікації безпеки.

Олексій Лукацький

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*