Спецпроекты

Безопасность

ISO 27001 в России: модно и бессмысленно

Сертификация по стандартам безопасности является важным фактором в принятии решения о сотрудничестве между компаниями. Многие хотят им соответствовать, платят немалые деньги. Однако не все так гладко. Часто уже сертифицированные компании нарушают требования стандарта, ставя под сомнение саму идею соответствия его требованиям. Так зачем же это нужно – и нужно ли в России вообще?

Ни для кого не секрет, что во многих организациях можно видеть вопиющее невыполнение требований не только сертификатов качества или ИБ, но и элементарного комфорта. Чтобы не быть голословными, приведем несколько примеров. Так, в Самарском международном аэропорту отсутствует не только беспроводная сеть, но даже розетки в зале ожидания, получить ответ на вопрос о свежести продуктов питания в местной забегаловке невозможно, сообщения о задержке рейса опаздывают на полтора часа, "доброжелательность" персонала напоминает о советском сервисе. И так дело обстоит не только в аэропорту Самары.

Особенно колоритно эта ситуация выглядит на фоне обслуживания в зарубежных аэропортах, например, в Хитроу (Лондон), где даже на международных рейсах никого не заставляют со спадающими без ремня брюками тащиться через рамку металлоискателя в полиэтиленовых пакетах на босу ногу. В некоторых отечественных аэропортов дело доходит до смешного: специально были закуплены "рентгенографические" кабины, которые позволяют проходить досмотр, не снимая обувь и не вынимая металлические предметы из карманов. Однако российские авиаслужбы безопасности доходят до абсурда и все равно заставляют босиком и без металла проходить через эти кабины.


В Самарском международном аэропорту отсутствует не только беспроводная сеть, но даже розетки в зале ожидания

И все это на фоне того, что для борьбы с террористической угрозой с августа 2006 года меры безопасности в аэропорту Хитроу были многократно усилены… но не в ущерб пассажирам. Но вернемся к самарскому аэропорту. Это единственный из российских аэровокзалов, который имеет сертификат системы менеджмента качества ISO 9001:2000, в т.ч. и в области обслуживания пассажиров. Страшно представить, что же тогда происходит в других…

Не стоит, однако, думать, что все вышесказанное относится только к региональным аэропортам. Вышеупомянутый сертификат на систему менеджмента качества имеют многие российские, и в том числе московские компании. Среди них отличилась управляющая компания "Эстейт-Сервис", которая сменила на "посту" ДЭЗ в московском районе Куркино. Эта фирма также имеет сертификат соответствия ISO 9001:2000. Однако в помещении бывшего ДЭЗа можно увидеть облупленные стены, пол и стены с битой или отсутствующей плиткой… О жилищном законодательстве здесь, похоже, вообще забыли, везде царит откровенное хамство и вымогательство… Классика советского обслуживания в "элитном" и экспериментальном районе, который недавно посетил Путин на пару с Лужковым. А сертификат является всего лишь очередной попыткой ввести потребителя в заблуждение, так как реально он ничем не подкреплен.

Такое расхождения слов и дела заставляет задуматься о том, насколько соответствуют сертификаты соответствия стандарту ISO 27001 реальному положению дел с безопасностью в компаниях, эти сертификаты/аттестаты получивших. А главное, насколько они вообще нужны и почему многие российские организации так стремятся их заполучить?

Зачем нужен сертификат по ISO 27001

Все причины можно условно разделить на 3 типа: "действительно нужно для дела", "на всякий случай" и "а почему бы и нет". Несмотря на то, что стоимость сертификации достаточно велика, бывают ситуации, хорошо описываемые таким монологом "Я что лох?! У братана есть, а у меня нет!" или "Это же модно". К сожалению, такое, хоть и редко, но бывает. Другие, тоже не самые правильные причины, побудившие ту или иную компанию заняться сертификацией, могут быть следствием работы интегратора или консультанта, который "запудрил" мозги клиенту, или просто результатом приказа "сверху" (без четкого понимания необходимости такой сертификации).

Правильными же причинами можно назвать требования бизнеса, необходимость выхода на новый уровень, законодательная директива, создание ценности для акционеров или клиентов, повышение стоимости компании (бизнеса).

Бывает и так, что просто хочется подтвердить, что в организации все хорошо с ИБ. Однако в этом случае стоит думать не о сертификации по ISO 27001 — это все равно, что стрелять из пушки по воробьям. Можно обойтись менее дорогостоящим аудитом или использованием специальных инструментальных средств проверки соответствия.

О роли безопасности в современной компании

Если посмотреть на любую компанию, то, согласно Дагу Энгельбарту, все ее функции и процессы можно разделить на 3 категории. Во-первых, основная деятельность предприятия, направленная на "зарабатывание денег". Например, выпуск продукта, предоставление услуг и т.д. Во-вторых, функции улучшения основной деятельности. Например, управление эффективностью поставок, оптимизация издержек и пр. Затем, функции совершенствования предыдущей категории. Например, менеджмент качества. Причем качество не как соответствие неким формальным требованиям (РД или ТУ), а как ценность для потребителя. Если он этой ценности не видит, то, несмотря на разнообразные сертификаты, награды и т.п., он не оценит новый продукт, услугу или процесс.

Как не прискорбно это отмечать, но ИБ не относится к первой (исключая услуги MSS) категории функций. Логично предположить, что она относится ко второй категории, но и тут не все так просто. Далеко не каждый может показать, как безопасность влияет на снижение издержек или рост эффективности того или иного процесса. А вот управление ИБ относится скорее к третьему типу функций.

Достаточно интересно наблюдать попытку улучшения процессов ИБ (т.е. третью категорию), если все остальные и, зачастую даже более важные, процессы в компании не выстроены и осуществляются кое-как. Рекламируемый интеграторами и консультантами "качественный скачок" большинству организаций не по силам, но они все равно идут на этот шаг к вящему удовольствию сертифицирующей и сертифицируемой сторон. В итоге довольны все — одни получили сертификат соответствия лучшим практикам, другие пополнили свой кошелек звонкой монетой. А результата как не было, так и нет.

О том, что сертифицируется

Не стоит забывать, что по ISO 27001 сертифицируется ПРОЦЕСС, а не компания и не система защиты. Это одно из ключевых отличий этого стандарта от "Общих критериев" или требований к аттестации автоматизированных систем. Вот это часто упускают из виду или просто не понимают. Если у вас сертифицирован один процесс, то есть множество других процессов, которые и могут стать теми самыми слабыми звеньями. Нельзя говорить "наша компания сертифицирована по ISO 27001" - это в корне неверно и говорит о непонимании стандарта.

Какие точно процессы идентифицировать для последующей сертификации стандарт не определяет. Эта гибкость стандарта делает его одновременно универсальным и сложным во внедрении для большинства компаний, которые не обладают соответствующей экспертизой и квалификацией. При этом основная сложность возникает не с точки зрения управления безопасностью, а с точки зрения правильной идентификации процессов.

Например, очень важно понимание самого термина "процесс". Кто-то воспринимает это просто. Все, что делает подразделение ИБ и есть процесс обеспечения информационной безопасности. Однако это слишком простое и не всегда правильное толкование. А как же сквозные процессы, которые пронизывают сразу несколько подразделений? Такими процессами очень сложно управлять, контролировать и измерять их эффективность. Более того. Их владельцами могут быть неспециалисты в области ИБ. Если российская компания, получившая сертификат на ISO 27001, смогла сделать это именно для такого процесса, то перед ней можно снять шляпу. Если же речь идет просто о сертификации "процесса ИБ" внутри самого отдела защиты информации, то это не более чем профанация идеи. По мнению специалистов, именно сквозные процессы (т.е. использование горизонтальной, а не вертикальной структуры в компании) и институт их владельцев отражает истинную суть процессного подхода. При этом при правильной постановке процесса его владелец практически не участвует в оперативном управлении, полагаясь на разработанный алгоритм и четко заданные границы (SLA).

Короткая ссылка