Перейти к содержанию

Модная "фишка"?


Рекомендуемые сообщения

26-28.09 посетил выставку по информационной безопасности в Эспоцентре и ряд конференций. Впячетление двоякое:

1. Проблемы - внедрение ISO 27001 и закона "О персональных данных" на предприятии.

2. ISO 27001 - зачем нужна сертификация, если под него несуществует госстандарта (или существует?), а деньгу просят немалую?

Ваше мнение друзья.

Ссылка на комментарий
Поделиться на другие сайты

Каждая уважающая себя тематическая выставка просто обязана озвучить тематическую же проблему. А поскольку Вы были на выставке по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ - и проблема связана со стандартом ISO 27001 (международным стандартом информационной безопасности).

 

Если развернуть полный список основных международных стандартов, легко понять - на каких выставках поднимаются вопросы по проблемам их внедрения и согласования с ГОСТами:

 

1997г. - SA 8000 - стандарт социальной ответственности предприятий.

1999г. - OHSAS 18001 - стандарт безопасности персонала и управления профессиональными рисками.

2000г. - ISO 9000 (ISO 9000, ISO 9001, ISO 9004, ISO 19011) - стандарт качества, независимо от выпускаемой продукции или услуг.

2002г. - ISO/TS 16949 - стандарт для автомобильной промышленности, на основе ISO 9000.

2003г. - ISO 13485 - стандарт профбезопасности и здоровья для разработчиков и производителей медицинской продукции, на основе ISO 9001.

2003г. - ISO 13488 - стандарт профбезопасности и здоровья для производителей медицинской продукции, не разработчиков, на основе ISO 9002.

2004г. - ISO 14001 - экологический стандарт.

2005г. - HACCP (ISO 9001, ISO 22000, ISO 15161) - стандарт безопасности пищевых продуктов.

2005г. - ISO/IEC 17799 - стандарт защиты информации.

2005г. - ISO/IEC 27001 - стандарт информационной безопасности.

 

С сертификацией по информационной безопасности можно ознакомиться на сайте "BSI Management Systems" ( http://www.bsi-russia.com/InformationSecur...ew/index.xalter ), которая наиболее активно участвует в выдаче стандарта ISO/IEC 27001 (более 40%).

 

В отношении согласующихся ГОСТов.

Можно воспользоваться базой http://webportalsrv.gost.ru/portal/pgs2006...RegGov?OpenForm и ввести в ней соответствующий международный гост.

Что касается ISO/IEC 27001, на его базе, или в согласовании с ним, известны например:

- Комплексный ГОСТ ИСО/МЭК 15408-2002 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

- ГОСТ Р ИСО/МЭК 27001 "Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" ( http://webportalsrv.gost.ru/portal/pgs2006...E7?OpenDocument ).

- Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации".

Список, возможно, неполный.

 

Поскольку международные стандарты обеспечивают благоприятные международные отношения - они нужны в первую очередь тем, кто вышел или выходит на международные рынки (актуально для фондовых и сырьевых рынков, например).

Еще они являются весомым аргументом для судов при возникновении споров с организациями, партнерами и клиентами. Не лишняя страховка для некоторых поставщиков алкоголя, мяса... ну, всем известно.

И наконец, просто имидж организации с перспективой развития. Проще говоря, понты.

 

Но думаю, ISO 27001 - не столько стандарт безопасности, сколько инструмент экспортно-импортного регулирования и контроля. Как и любой другой. Особенно если учесть, что среди "уполномоченных выдающих организаций" отечественного происхождения не наблюдается, даже если в них работают наши "обученные" соотечественники. Как-то не сбалансирован этот моментик. Напоминает ситуацию с производителями операционных систем, владельцами поисковиков, операторов GSM, GPS, и т.д. Хотя, никто не спорит, на рынки выходить надо. К тому же, международный сертификат выдается на определенное время (на 3 года с ежегодной аттестацией в случае с ISO/IEC 27001). Не всем понравится такая частота проверок чего бы то ни было.

 

Думаю, проблема "внедрения международных стандартов" плотно увязана с внутренним взглядом государства на методы и процессы стандартизации и собственным видением - кто, как и какие стандарты должен вводить.

Например, Вы же не заинтересовались проблемами внедрения стандарта того же года ISO/IEC 17799, очень близкого к ISO/IEC 27001. Потому что ему полностью соответствует ГОСТ Р ИСО/МЭК 17799 "Информационные технологии. Методы и средства обеспечения защиты. Свод практических рекомендаций для менеджмента защиты информации" (http://webportalsrv.gost.ru/portal/pgs2006.nsf/ByTechRegGov/3FC2D39DE1CBC8A7C32570AB003FCF51?OpenDocument). А вот с ISO/IEC 27001 - ситуация другая - к нему привязываются отдельные специализированные ГОСТы, а не один общий аналог.

 

Ссылка на комментарий
Поделиться на другие сайты

2. ISO 27001 -  зачем нужна сертификация, если под него несуществует госстандарта (или существует?), а деньгу просят немалую?

33824[/snapback]

 

Сертификация нужна если есть необходимость продемонстрировать сертификат. Например партнерам.

Сам же стандарт содержит требования к системе управления информационной безопасностью. Т.е. если у Вас такой системы нет а хочется, то его вполне можно взять за основу. А если СУИБ уже есть, то можно сравнить со стандартом и посмотреть, что Вы упустили.

Ссылка на комментарий
Поделиться на другие сайты

http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177

-------------------------------------------------------------------------

Алексей Лукацкий "ISO 27001 в России: модно и бессмысленно"

 

Ни для кого не секрет, что во многих организациях можно видеть вопиющее невыполнение требований не только сертификатов качества или ИБ, но и элементарного комфорта. Чтобы не быть голословными, приведем несколько примеров. Так, в Самарском международном аэропорту отсутствует не только беспроводная сеть, но даже розетки в зале ожидания, получить ответ на вопрос о свежести продуктов питания в местной забегаловке невозможно, сообщения о задержке рейса опаздывают на полтора часа, "доброжелательность" персонала напоминает о советском сервисе. И так дело обстоит не только в аэропорту Самары.

 

Особенно колоритно эта ситуация выглядит на фоне обслуживания в зарубежных аэропортах, например, в Хитроу (Лондон), где даже на международных рейсах никого не заставляют со спадающими без ремня брюками тащиться через рамку металлоискателя в полиэтиленовых пакетах на босу ногу. В некоторых отечественных аэропортов дело доходит до смешного: специально были закуплены "рентгенографические" кабины, которые позволяют проходить досмотр, не снимая обувь и не вынимая металлические предметы из карманов. Однако российские авиаслужбы безопасности доходят до абсурда и все равно заставляют босиком и без металла проходить через эти кабины.

 

 

В Самарском международном аэропорту отсутствует не только беспроводная сеть, но даже розетки в зале ожидания

 

И все это на фоне того, что для борьбы с террористической угрозой с августа 2006 года меры безопасности в аэропорту Хитроу были многократно усилены… но не в ущерб пассажирам. Но вернемся к самарскому аэропорту. Это единственный из российских аэровокзалов, который имеет сертификат системы менеджмента качества ISO 9001:2000, в т.ч. и в области обслуживания пассажиров. Страшно представить, что же тогда происходит в других…

 

Не стоит, однако, думать, что все вышесказанное относится только к региональным аэропортам. Вышеупомянутый сертификат на систему менеджмента качества имеют многие российские, и в том числе московские компании. Среди них отличилась управляющая компания "Эстейт-Сервис", которая сменила на "посту" ДЭЗ в московском районе Куркино. Эта фирма также имеет сертификат соответствия ISO 9001:2000. Однако в помещении бывшего ДЭЗа можно увидеть облупленные стены, пол и стены с битой или отсутствующей плиткой… О жилищном законодательстве здесь, похоже, вообще забыли, везде царит откровенное хамство и вымогательство… Классика советского обслуживания в "элитном" и экспериментальном районе, который недавно посетил Путин на пару с Лужковым. А сертификат является всего лишь очередной попыткой ввести потребителя в заблуждение, так как реально он ничем не подкреплен.

 

Такое расхождения слов и дела заставляет задуматься о том, насколько соответствуют сертификаты соответствия стандарту ISO 27001 реальному положению дел с безопасностью в компаниях, эти сертификаты/аттестаты получивших. А главное, насколько они вообще нужны и почему многие российские организации так стремятся их заполучить?

 

Зачем нужен сертификат по ISO 27001

 

Все причины можно условно разделить на 3 типа: "действительно нужно для дела", "на всякий случай" и "а почему бы и нет". Несмотря на то, что стоимость сертификации достаточно велика, бывают ситуации, хорошо описываемые таким монологом "Я что лох?! У братана есть, а у меня нет!" или "Это же модно". К сожалению, такое, хоть и редко, но бывает. Другие, тоже не самые правильные причины, побудившие ту или иную компанию заняться сертификацией, могут быть следствием работы интегратора или консультанта, который "запудрил" мозги клиенту, или просто результатом приказа "сверху" (без четкого понимания необходимости такой сертификации).

 

Правильными же причинами можно назвать требования бизнеса, необходимость выхода на новый уровень, законодательная директива, создание ценности для акционеров или клиентов, повышение стоимости компании (бизнеса).

 

Бывает и так, что просто хочется подтвердить, что в организации все хорошо с ИБ. Однако в этом случае стоит думать не о сертификации по ISO 27001 — это все равно, что стрелять из пушки по воробьям. Можно обойтись менее дорогостоящим аудитом или использованием специальных инструментальных средств проверки соответствия.

 

О роли безопасности в современной компании

 

Если посмотреть на любую компанию, то, согласно Дагу Энгельбарту, все ее функции и процессы можно разделить на 3 категории. Во-первых, основная деятельность предприятия, направленная на "зарабатывание денег". Например, выпуск продукта, предоставление услуг и т.д. Во-вторых, функции улучшения основной деятельности. Например, управление эффективностью поставок, оптимизация издержек и пр. Затем, функции совершенствования предыдущей категории. Например, менеджмент качества. Причем качество не как соответствие неким формальным требованиям (РД или ТУ), а как ценность для потребителя. Если он этой ценности не видит, то, несмотря на разнообразные сертификаты, награды и т.п., он не оценит новый продукт, услугу или процесс.

 

Как не прискорбно это отмечать, но ИБ не относится к первой (исключая услуги MSS) категории функций. Логично предположить, что она относится ко второй категории, но и тут не все так просто. Далеко не каждый может показать, как безопасность влияет на снижение издержек или рост эффективности того или иного процесса. А вот управление ИБ относится скорее к третьему типу функций.

 

Достаточно интересно наблюдать попытку улучшения процессов ИБ (т.е. третью категорию), если все остальные и, зачастую даже более важные, процессы в компании не выстроены и осуществляются кое-как. Рекламируемый интеграторами и консультантами "качественный скачок" большинству организаций не по силам, но они все равно идут на этот шаг к вящему удовольствию сертифицирующей и сертифицируемой сторон. В итоге довольны все — одни получили сертификат соответствия лучшим практикам, другие пополнили свой кошелек звонкой монетой. А результата как не было, так и нет.

 

О том, что сертифицируется

 

Не стоит забывать, что по ISO 27001 сертифицируется ПРОЦЕСС, а не компания и не система защиты. Это одно из ключевых отличий этого стандарта от "Общих критериев" или требований к аттестации автоматизированных систем. Вот это часто упускают из виду или просто не понимают. Если у вас сертифицирован один процесс, то есть множество других процессов, которые и могут стать теми самыми слабыми звеньями. Нельзя говорить "наша компания сертифицирована по ISO 27001" - это в корне неверно и говорит о непонимании стандарта.

 

Какие точно процессы идентифицировать для последующей сертификации стандарт не определяет. Эта гибкость стандарта делает его одновременно универсальным и сложным во внедрении для большинства компаний, которые не обладают соответствующей экспертизой и квалификацией. При этом основная сложность возникает не с точки зрения управления безопасностью, а с точки зрения правильной идентификации процессов.

 

Например, очень важно понимание самого термина "процесс". Кто-то воспринимает это просто. Все, что делает подразделение ИБ и есть процесс обеспечения информационной безопасности. Однако это слишком простое и не всегда правильное толкование. А как же сквозные процессы, которые пронизывают сразу несколько подразделений? Такими процессами очень сложно управлять, контролировать и измерять их эффективность. Более того. Их владельцами могут быть неспециалисты в области ИБ. Если российская компания, получившая сертификат на ISO 27001, смогла сделать это именно для такого процесса, то перед ней можно снять шляпу. Если же речь идет просто о сертификации "процесса ИБ" внутри самого отдела защиты информации, то это не более чем профанация идеи. По мнению специалистов, именно сквозные процессы (т.е. использование горизонтальной, а не вертикальной структуры в компании) и институт их владельцев отражает истинную суть процессного подхода. При этом при правильной постановке процесса его владелец практически не участвует в оперативном управлении, полагаясь на разработанный алгоритм и четко заданные границы (SLA).

 

Как утверждал Эдвард Демминг, основоположник системы управления качеством, "задача менеджмента — совершенствование системы, а не постоянные вмешательства в оперативную деятельность". Именно этим и должен заниматься CISO. И это важное отличие в понимании роли CISO в России и на Западе. У нас руководитель по ИБ по-прежнему занимается оперативной деятельностью, в то время как его основная задача — создание ценности для потребителя. Поэтому владелец процесса ИБ и руководитель службы ИБ — это не всегда одно и тоже лицо. Хотя при наличии в компании CISO, находящегося на правильном уровне иерархии, он и будет выполнять роль владельца процесса (или процессов).

 

 

В бывшем ДЭЗе московского района Куркино можно увидеть облупленные стены, пол и стены с битой плиткой

 

Вот тут начинаются определенные сложности. Для того чтобы процесс был результативным, его владелец обычно пытается (или, как минимум, мечтает) захватить все доступные ресурсы… возможно даже в ущерб другим процессам. Не допустить этого и оптимизировать использование ресурсов и есть задача функциональных руководителей. Однако самая большая опасность, по мнению Демминга, — это оптимизация "в своих интересах", в ущерб интересов компании и бизнеса. А в случае с ИБ эта опасность проявляется с максимальной четкостью, т.к. ресурсы на нее либо не будут выделяться совсем, либо их будет недостаточно для эффективной и результативной работы процесса. Поэтому так важно налаживание контакта с линейными менеджерами и руководителями функциональных подразделений при построении сквозного процесса ИБ.

 

При внедрении процессного подхода необходимо учитывать, как минимум, 2 важных составляющих. Технология выполнения процесса (т.е. как выполняется деятельность, которая описывается процессом) и технология управления процессом (т.е. как эта деятельность управляется). Вторая часть тоже делится на организацию процесса и координацию его выполнения, что очень важно именно для сквозных процессов. Опять же, когда говорят про ISO 27001, обычно имеют в виду только вторую составляющую (система менеджмента). Но если у нас нет того, чем управлять, или эта деятельность не налажена, как можно внедрять систему управления?

 

Суть любого процессного подхода — достижение лучшего результата, чем есть сейчас. Результат же оценивает потребитель, а не тот, кто "рулит" тем или иным процессом. Если мы внедряем или улучшаем какой-то процесс, который затем получает наилучшие "оценки" у всех, кроме потребителя, то грош цена такому процессу — потребитель будет стараться обойти его всеми правдами и неправдами. Это объясняет многие неудачи с внедрением каких-либо неудобных в использовании, "тяжелых" систем защиты, которые хоть и решают проблемы с вирусами, червями, утечками, НСД и т.д., но в штыки воспринимаются пользователями.

 

Многие слишком уж много говорят о процессе, забывая, ради чего все это делается. Процесс ради процесса никому не нужен. Вот, допустим, внедрили мы проект по управлению процессом ИБ. А какой эффект достигнут? Что это дало? Обычно все хвалятся полученным сертификатом, а не результатом улучшения деятельности компании, для которой этот процесс и внедрялся. Вроде все сделали, как написано в стандарте и связанных документах, но эффект не виден или его никто не может посчитать. А ведь ISO 27001, как и ряд других "безопасных" стандартов — это набор лучших практик, т.е. в их основе лежит полученная в реальной жизни отдача от внедрения тех или иных защитных технологий или мер. Так стоила ли овчинка выделки? Или опять внедрение было формальным, только ради заветной бумажки, которая не является финальной стадией в процессе управления безопасностью, как считают некоторые.

 

Что не так, или в чем российская специфика?

 

Так что же не дает нам эффективно внедрять систему менеджмента и процессный подход в ИБ? Все дело в отсутствии четкой системы, ориентированной на результат, имеющей конкретные цели и измеримой на каждом этапе. При этом надо понимать, что безопасность находится в худшей ситуации, чем, например, финансы, у которых есть хотя бы итоговые показатели, которые определяют успех или неудачу в бизнесе. В безопасности обычно нет ни конечных итоговых показателей, ни тем более, системы оценки создания ценности для потребителя на каждом этапе. А в такой системе очень важен выбор целей, которые в отличие от финансов должны быть скорее качественными, чем количественными. И цели эти должны пронизывать все процессы ИБ, от стратегических до операционных. Причем это относится ко всей цепочке создания ценности для потребителя; и не стоит забывать, что наиболее интересны и сложны именно сквозные процессы.

 

Вся эта система "заработает" только в условиях соблюдения интересов всех участников уже названной цепочки создания ценности. Иными словами, все цели и показатели их оценки должны быть сбалансированы. Это слово возникло не случайно. Ведь не зря система сбалансированных показателей стала актуальной в последние несколько лет. Найти свое применение она может и в области информационной безопасности. Хотя это и не просто. Особенно учитывая, что факторов, имеющих ценность для потребителя, может быть несколько. Также как и клиентов, процессов и звеньев в цепочке создания ценности. В итоге мы имеем очень большой клубок переплетений и связей, которые необходимо сбалансировать. А задача эта непростая по ряду причин.

 

Одна из них заключается в том, что система управления (хотя часто используется более модное слово "менеджмента") в России — пока из области теории и концепции, а не успешной практики. Процессный подход, описанный еще в стандарте ISO 9001:2000, прочно вошел в жизнь многих компаний во всем мире. Я имею в виду сам подход, без привязки его к безопасности. Но для России он еще не является стандартом — мы только начинаем его внедрять в нашу жизнь. Да и ложится он на совсем иную почву, чем на Западе. Там это норма, у нас пока в новинку. Поэтому многие непонятные для нас вещи и термины толкуются по-своему, в меру понимания. А оно не всегда совпадает с мнением разработчиков процессного подхода.

 

Из этого вытекает и вторая причина: легионы консультантов под эгидой подготовки к сертификации по 27001 предлагают какие-то свои трактовки и понимание этого стандарта. Практически ни один из них сам себя не сертифицировал. И далеко не всегда это объясняется пословицей "сапожник без сапог". Как может компания с пятью или даже тремястами сотрудниками готовить к сертификации монстра в десятки тысяч человек, с сотнями разных процессов, о которых консультант не всегда имеет представление.

 

Во всем мире развитие стандартов менеджмента шло логичным путем. Сначала управление компанией и отдельными процессами в ней, потом управление безопасностью. У нас, не наладив управление всем бизнесом, пытаются внедрять управление этой "второстепенной" или даже "третьестепенной" задачей. В ряде случаев это пытаются делать параллельно, но ситуация от этого лучше не становится.

 

Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности.

 

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...