Сертификация по ISO 27001 только недавно пришла в Россию. Нужна ли она российскому бизнесу, когда точно известно что без нее можно обойтись? Этот вопрос периодически поднимается и в ответах на него, частенько можно услышать ряд типичных заблуждений.
Заблужение №1. Такая сертификация не нужна для нашего бизнеса. Другими словами, нет в этом бизнес необходимости, а у нас есть задачи и поважнее.
На самом деле, если речь идет о компании, не сказать чтобы крупной, но занимающей свое значимое место на рынке, то подобное высказывание означает лишь, то что руководство компании пока еще не осознает тех выгод, которые можно получить за счет сертификации. И пусть большая часть клиентов, партнеров и прочих заинтересованных лиц, пока не осведомлена о стандарте ISO 27001 – иногда это и к лучшему. Этот фактор можно использовать как дополнительную возможность привлечь положительное внимание к своей компании и объяснить чем же вы все-таки лучше конкурентов, которые делают на рынке казалось бы тоже самое что и вы. Оказывается вы к тому же надежная и защищенная компания.
Не менее важны и внутренние причины, побуждающие вас сертифицироваться. Ведь сертификация по ISO 27001 – это всего лишь навсего аудит третьей стороны, а от такого аудита отмахнуться все равно не удастся, иначе дела ваши могут стать совсем плохи. Причем неприятности будут происходить неожиданно и в самый неподходящий для этого момент. Конкуренты почему-то выйдут на рынок с новым продуктом раньше вас, ключевые сотрудники перейдут в другую компанию, прихватив с собой списки стратегически важных контактов, а тут еще и наезд со стороны налоговой …и это еще не самые страшные вещи, которые могут с вами произойти, если информационное пространство вашего бизнеса плохо защищено.
Заблуждение №2. Сертификация по ISO 27001 дорого стоит.
Опять же, это заблуждение, происходит от непонимания того, что сертификация – это всего лишь аудит, который вам все равно придется пройти, так или иначе, и если вы вовремя до этого не додумаетесь, то неприятности не заставят себя долго ждать. Стоит сертификация не дороже обычного аудита. Значительно больше средств вам придется потратить не на сертификацию, а на приведение своей организации в состояние готовности к этой сертификации. Однако в данном случае деньги тратятся уже не на внешних аудиторов, а на себя, поэтому их не так жалко.
Заблуждение №3. Подготовка к сертификации слишком сложна, а сейчас некому этим заниматься.
А чем же тогда заниматься вашей службе ИБ, если не созданием надежной системы защиты информации, опирающейся на международные стандарты? Если для них это непосильная задача или у них есть дела по-важнее, то вам лучше было бы немедленно избавится от таких “специалистов”. Действительно, построение документированной СУИБ во всей организации, это тяжелый, порой многолетний труд. Только для сертификации не требуется, чтобы СУИБ обязательно охватывала всю организацию целиком. Достаточно начать с одного наиболее важного бизнес процесса, постепенно распространяя этот подход на всю организацию. Если же и в рамках одного бизнес процесса ваши специалисты-безопасности не в состоянии обеспечить надлежащего уровня защиты, то тогда читайте выше о том, что надо сделать с такими специалистами.
Заблуждение №4. Согласно требованиям стандарта надо оценить все риски ИБ и документировать все процедуры управления ИБ, а мы пока этого не сделали, значит нам еще рано проходить сертификацию.
Вам действительно следует оценивать все значимые риски. Какое количество рисков вы будете оценивать и насколько это будет сложным делом, зависит от выбранной вами методологии и уровня детализации. Однако для успешного прохождения сертификации вам достаточно продемонстрировать наличие работающей методологии оценки рисков. Если вы не успели еще оценить все риски, то это может расцениваться аудиторами не как фатальное несоответствие, как если бы у вас отсутствовала методология или политика безопасности. Поэтому сертификацию вы пройдете, если только сумеете продемонстрировать, что ваша методология оценки рисков реально использовалась на протяжении не менее трех месяцев.
Стандарт также требует, чтобы все процедуры управления ИБ были документированы. Однако и здесь все не так плохо. Ведь документированная процедура – это один из механизмов контроля, а механизмы контроля должны выбираться на основании оценки рисков. Уровень риска приемлемый, значит дополнительная процедура не требуется. Это один из основных принципов стандарта. Степень документированности также определяется уровнем риска. Другими словами, вам самим надо решать, будет ваша процедура занимать одну строчку или целый толмуд. Главное что от вас требуется при аудите, помимо десятка обязательных документов, прописанных в стандарте, это понимание и обоснование. Если это есть, то сертификационный аудит вы обязательно пройдете.
Заблуждение №5. Российские компании еще не готовы к полноценному внедрению международных стандартов ИБ, т.к. для этого требуется определенная степень зрелости, а у них имеются другие более приоритетные задачи.
Это заблуждение сродни первому. Только в этом случае руководство компании не признается в том, что оно не понимает конкретных преимуществ сертификации, а уклончиво замечает, что еще не готовы. Другими словами, мы построили успешный бизнес, но пока не готовы его защищать. Наше возражение на это: либо вам действительно нечего пока защищать и ваш бизнес недорого стоит, либо вам надо поторопиться, иначе может быть поздно.
Заблуждение №6. У россиян особый менталитет и свои подходы к ведению бизнеса, поэтому не стоит слепо копировать западные методики и стандарты.
Такие рассуждения опровергаются реальным опытом, когда западный менеджмент со своими международными стандартами, работает намного эффективнее. Крайняя степень подобного заблуждения, в исполнении бойцов “старой закалки” формулируется так: “империалисты специально разрабатывают для нас свои международные стандарты, чтобы сбить нас с правильного пути”. Комментарии здесь излишни.
Заблуждение №7. Как может компания, в которой работают всего несколько консультантов, готовить к сертификации по ISO 27001, организацию, в которой работает тысяча сотрудников и очень сложные бизнес процессы? Тем более, что консультанты сами не были сертифицированы по этому стандарту.
Крайне наивное рассуждение, происходящее от непонимания как сущности управления, так и сущности консалтинга. А как же, простите, один человек может управлять целой организацией или целым государством? Мы скажем на это, что хватит вам и одного консультанта. Вообще, чем меньше начальников и консультантов, тем лучше пойдет дело, т.к. и управление и консалтинг не имеют ничего общего с конвеерным производством. И в страшном сне трудно себе представить, что кого-то будут готовить к сертификации тысячи, сотни или хотя бы десятки консультантов. Здесь видимо намек на то, что крупным компаниям следует работать с такими же как они крупными компаниями. Только вряд ли стоит это брать за правило, поскольку в крупной компании компетентных специалистов, может быть еще меньше, а в консалтинге опыт и знания даже одного профессионала перевешивают любое количество посредственных специалистов. А что до того, что у консультантов в организации у самих не внедрен этот стандарт и поэтому им нельзя доверять столь ответственную работу, то это рассуждение сродни тому, что хирургу нельзя доверять вырезание аппендицита, если он не вырезал его сам у себя, или архитектору нельзя доверять проектировать ваш коттедж, если он не спроектировал такой же ранее для себя.