28 Сентября 2007 13:09 28 Сен 2007 13:09 |

Поделиться

ISO 27001 в России: модно и бессмысленно

страницы:   предыдущая   |   1    |   2  

Как утверждал Эдвард Демминг, основоположник системы управления качеством, "задача менеджмента — совершенствование системы, а не постоянные вмешательства в оперативную деятельность". Именно этим и должен заниматься CISO. И это важное отличие в понимании роли CISO в России и на Западе. У нас руководитель по ИБ по-прежнему занимается оперативной деятельностью, в то время как его основная задача — создание ценности для потребителя. Поэтому владелец процесса ИБ и руководитель службы ИБ — это не всегда одно и тоже лицо. Хотя при наличии в компании CISO, находящегося на правильном уровне иерархии, он и будет выполнять роль владельца процесса (или процессов).

В бывшем ДЭЗе московского района Куркино можно увидеть облупленные стены, пол и стены с битой плиткой

Вот тут начинаются определенные сложности. Для того чтобы процесс был результативным, его владелец обычно пытается (или, как минимум, мечтает) захватить все доступные ресурсы… возможно даже в ущерб другим процессам. Не допустить этого и оптимизировать использование ресурсов и есть задача функциональных руководителей. Однако самая большая опасность, по мнению Демминга, — это оптимизация "в своих интересах", в ущерб интересов компании и бизнеса. А в случае с ИБ эта опасность проявляется с максимальной четкостью, т.к. ресурсы на нее либо не будут выделяться совсем, либо их будет недостаточно для эффективной и результативной работы процесса. Поэтому так важно налаживание контакта с линейными менеджерами и руководителями функциональных подразделений при построении сквозного процесса ИБ.

При внедрении процессного подхода необходимо учитывать, как минимум, 2 важных составляющих. Технология выполнения процесса (т.е. как выполняется деятельность, которая описывается процессом) и технология управления процессом (т.е. как эта деятельность управляется). Вторая часть тоже делится на организацию процесса и координацию его выполнения, что очень важно именно для сквозных процессов. Опять же, когда говорят про ISO 27001, обычно имеют в виду только вторую составляющую (система менеджмента). Но если у нас нет того, чем управлять, или эта деятельность не налажена, как можно внедрять систему управления?

Суть любого процессного подхода — достижение лучшего результата, чем есть сейчас. Результат же оценивает потребитель, а не тот, кто "рулит" тем или иным процессом. Если мы внедряем или улучшаем какой-то процесс, который затем получает наилучшие "оценки" у всех, кроме потребителя, то грош цена такому процессу — потребитель будет стараться обойти его всеми правдами и неправдами. Это объясняет многие неудачи с внедрением каких-либо неудобных в использовании, "тяжелых" систем защиты, которые хоть и решают проблемы с вирусами, червями, утечками, НСД и т.д., но в штыки воспринимаются пользователями.

Многие слишком уж много говорят о процессе, забывая, ради чего все это делается. Процесс ради процесса никому не нужен. Вот, допустим, внедрили мы проект по управлению процессом ИБ. А какой эффект достигнут? Что это дало? Обычно все хвалятся полученным сертификатом, а не результатом улучшения деятельности компании, для которой этот процесс и внедрялся. Вроде все сделали, как написано в стандарте и связанных документах, но эффект не виден или его никто не может посчитать. А ведь ISO 27001, как и ряд других "безопасных" стандартов — это набор лучших практик, т.е. в их основе лежит полученная в реальной жизни отдача от внедрения тех или иных защитных технологий или мер. Так стоила ли овчинка выделки? Или опять внедрение было формальным, только ради заветной бумажки, которая не является финальной стадией в процессе управления безопасностью, как считают некоторые.

Что не так, или в чем российская специфика?

Так что же не дает нам эффективно внедрять систему менеджмента и процессный подход в ИБ? Все дело в отсутствии четкой системы, ориентированной на результат, имеющей конкретные цели и измеримой на каждом этапе. При этом надо понимать, что безопасность находится в худшей ситуации, чем, например, финансы, у которых есть хотя бы итоговые показатели, которые определяют успех или неудачу в бизнесе. В безопасности обычно нет ни конечных итоговых показателей, ни тем более, системы оценки создания ценности для потребителя на каждом этапе. А в такой системе очень важен выбор целей, которые в отличие от финансов должны быть скорее качественными, чем количественными. И цели эти должны пронизывать все процессы ИБ, от стратегических до операционных. Причем это относится ко всей цепочке создания ценности для потребителя; и не стоит забывать, что наиболее интересны и сложны именно сквозные процессы.

Вся эта система "заработает" только в условиях соблюдения интересов всех участников уже названной цепочки создания ценности. Иными словами, все цели и показатели их оценки должны быть сбалансированы. Это слово возникло не случайно. Ведь не зря система сбалансированных показателей стала актуальной в последние несколько лет. Найти свое применение она может и в области информационной безопасности. Хотя это и не просто. Особенно учитывая, что факторов, имеющих ценность для потребителя, может быть несколько. Также как и клиентов, процессов и звеньев в цепочке создания ценности. В итоге мы имеем очень большой клубок переплетений и связей, которые необходимо сбалансировать. А задача эта непростая по ряду причин.

В тренде мультиоблако — изучаем плюсы и минусы

Облака

Одна из них заключается в том, что система управления (хотя часто используется более модное слово "менеджмента") в России — пока из области теории и концепции, а не успешной практики. Процессный подход, описанный еще в стандарте ISO 9001:2000, прочно вошел в жизнь многих компаний во всем мире. Я имею в виду сам подход, без привязки его к безопасности. Но для России он еще не является стандартом — мы только начинаем его внедрять в нашу жизнь. Да и ложится он на совсем иную почву, чем на Западе. Там это норма, у нас пока в новинку. Поэтому многие непонятные для нас вещи и термины толкуются по-своему, в меру понимания. А оно не всегда совпадает с мнением разработчиков процессного подхода.

Из этого вытекает и вторая причина: легионы консультантов под эгидой подготовки к сертификации по 27001 предлагают какие-то свои трактовки и понимание этого стандарта. Практически ни один из них сам себя не сертифицировал. И далеко не всегда это объясняется пословицей "сапожник без сапог". Как может компания с пятью или даже тремястами сотрудниками готовить к сертификации монстра в десятки тысяч человек, с сотнями разных процессов, о которых консультант не всегда имеет представление.

Во всем мире развитие стандартов менеджмента шло логичным путем. Сначала управление компанией и отдельными процессами в ней, потом управление безопасностью. У нас, не наладив управление всем бизнесом, пытаются внедрять управление этой "второстепенной" или даже "третьестепенной" задачей. В ряде случаев это пытаются делать параллельно, но ситуация от этого лучше не становится.

Дмитрий Шулинин, UserGate: Выиграли те, кто полагался на SIEM собственной разработки

Безопасность

Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности.

Алексей Лукацкий

страницы:   предыдущая   |   1    |   2  

Поделиться

Подписаться на новости Короткая ссылка