Случайно наткнулся на прошлогодний пресс-релиз о сертификации Microsoft по ISO 27001, датированный августом 2008 года. В связи с этим возникли определенные мысли о таком неоднозначном явлении как сертификация систем менеджента, а также о том, как ISO 27001 шагает по планете.
В прошлом году Microsoft объявила о сертификации по ISO27001: Microsoft Global Foundation Services earns ISO/IEC 27001:2005 certification.
Microsoft, безусловно имеющая одну из наиболее сильных систем менеджмента в мире, приняла решение о формализации своих процессов управления ИБ в соответствии с ISO 27001 вслед за Cisco, HP, IBM, Yahoo и другими американскими гигантами ИТ индустрии, наверное, не случайно. Можно ли говорить о том, что ISO 27001 получает все большее признание в США? Я думаю что да. В то время, как лидеры не скупятся на сертификацию, еще в сотни раз больше компаний серьезно внедряют этот стандарт отнюдь не ради сертификации.
Как известно, американцы не спешили принимать новые международные стандарты информационной безопасности, которые разрабатывались в Великобритании без их непосредственного участния. Когда в августе 2000 г. в ISO обсуждалась первая редакция ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ-держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам. «Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO»,- говорит Жене Трой, представитель США в техническом комитете ISO. Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности.
В США было принято, пожалуй, самое большое в мире количество законов и нормативных актов в области ИБ: FISMA, USAPA, SOX, FDA, GLBA, HIPAA, COPPA, FERPA и многие другие подзаконные акты и нормативные документы. Так что американским компаниям в этом плане можно только посочуствовать. Куда им еще думать о международных сертификациях – свои бы собственные сертификации и аккредитации успеть пройти.
В такой ситуации 86 сертификатов – не такой уж и плохой результат, с учетом того, что сертификация по ISO 27001 – дело сугубо добровольное, в отличии от всех остальных сертификаций и разрешительных процедур, которые организации вынуждены проходить.
Несмотря на то, что ISO 27001 носит необязательный характер, все больше компаний не только рассматривают его внедрение как высокоприоритетную задачу, но и тратят немалые средства на сертификацию, хотя нигде, кроме Японии, никто их этого делать не заставляет. Ведь, кроме этого стандарта, в мире имеется еще более 500 стандатов и нормативных документов в области ИБ, десятки из которых носят для организаций обязательный характер. В чем же причина такого успеха ISO 27001? На мой взгляд, она кроется, прежде всего, в полезных свойствах самого стандарта и универсальности принятого в нем подхода к решению проблем ИБ, а уже потом в его международном статусе и имиджевой составляющей, обеспечиваемой авторитом международной сертификации, разработанной и поддерживаемой, в первую очередь, BSI. Эти полезные свойства заключаются в следующем:
- Простота (небольшой по объему текст, нормально воспринимается даже неспециалистами)
- Высокоуровневость (рассматриваются первичные организационные вопросы, без ответа на которые более низкоуровневые технологические вопросы утрачивают смысл)
- Полнота (стандарт охватывает все аспекты обеспечения информационной безопасности, а не только ИТ)
- Здравый смысл (все рекомендации стандарта легко находят обоснование при помощи здравого смысла, доступного практически любому человеку)
- Экономическая обоснованность (стандарт рекомендует внедрять только те механизмы контроля, которые необходимы для уменьшения рисков до приемлемой величины и являются экономически обоснованными, при этом определяя основные подходы к оценке и обработки риска)
- Универсальность (описанный в стандарте подход в равной степени актуален для любой организации)
Со своей стороны BSI со своей системой сертификации по ISO 27001 устремился в США. C 1 января 2009 года BSI Management Systems по всему миру кроме Великобритании перешел с аккредитации UKAS под аккредитацию ANSI-ASQ National Accreditation Board (ANAB) для всех основных схем регистрации (BSI Management Systems ввиду глобального расширения бизнеса в качестве основной аккредитации по всему миру выбирает американский ANAB). ANAB был создан двумя известными и уважаемыми организациями: Американским национальным институтом стандартов (the American National Standards Institute – ANSI) и Американским обществом качества (American Society for Quality – ASQ). Таким образом, с этого года сертификация по ISO 27001 стала для американцев ближе и значимей.
Всего, согласно международному реестру сертификатов, на данный момент зарегистрировано 5314 организаций, сертифицированных по ISO 27001.
Российским организациям пока не до международных сертификаций. Отечественная нормативная база не имеет ничего общего с best practice и, тем не менее, создает колоссальные заморочки для тех, кто пытается ей следовать.
За Россией числится только 10 сертификатов (32 место в мире), что, однако, не состыкуется с российским реестром, согласно которому уже по состоянию на 09.2008 г. российским организациям было выдано не меньше 13 сертификатов. Толи в международном реестре учитываются только сертификаты, выданные BSI, что было бы очень странным, толи часть российских сертификаций там не считаются российскими из-за иностранного происхождения сертифицируемых организаций, таких как CMA или Renaissance Capital.