Одна из наибольших трудностей, связанных с внедрением международного стандарта ISO 27001 и всех прочих родственных ему и разработанных британцами международных стандартов на системы менеджмента, заключается в необходимости скрупулезного документирования СУИБ. Согласно п. 4.3.1 g) в организации должны быть «документированные процедуры, которые необходимы организации для обеспечения эффективного планирования, выполнения и контроля процессов информационной безопасности и описывающие как измерять эффективность механизмов контроля».
Заметим, что Стандарт явным образом не говорит о том, что абсолютно все процедуры обеспечения ИБ должны быть документированы. Он также не определяет то, с каким уровнем детализации должно осуществляться это документирование. В примечании 2 к п. 4.3.1 также говориться о том, что «объем документации СУИБ может различаться от одной организации к другой в зависимости от размера организации и вида ее деятельности; и области действия и сложности требований безопасности и системы, которой осуществляется управление». а в примечании 3, что «документы и записи могут быть представлены в любой форме и на любом типе носителя».
Другими словами, каждая организация сама определяет степень документированности своей деятельности, исходя из своих индивидуальных потребностей. Однако логика построения и функционирования СУИБ предполагает, в конечном счете, достаточно полное и подробное документирование всех существенных для организации процессов. Такая необходимость обусловлена следующими достаточно очевидными соображениями:
- Необходимость проведения аудитов и осуществления контроля. Недокументированные или недостаточно документированные процессы сложно контролировать. Если процесс и свидетельства его функционирования недокументированы, то для аудитора он как бы и не существует.
- Необходимость обеспечения устойчивости процессов к ротации кадров. В документированном процессе достаточно просто заменить одного сотрудника на другого без ущерба для бизнеса.
- Необходимость координации действий исполнителей. Особенно для процессов, в которых задействовано большое количество работников.
- Управленческие процессы невозможно осуществлять без соответствующего документирования, а сложные технологические процессы требуют для своего выполнения разработки достаточно подробных инструкций.
- Документирование СУИБ позволяет осуществлять ее анализ и тиражирование.
- и т.п.
Помимо всего перечисленного, одно соображение имеет особое значение. Это соображение обусловлено психологией бизнеса и работников, в нем задействованных. Всех работников организации можно разделить на несколько классов, в зависимости от их способностей и отношения к работе. В книге Емельянова Е.Н. и Поварницыной С.Е., «Психология бизнеса» эти классы работников описываются следующим образом:
«Я давно наблюдаю за людьми, которые приходят ко мне на работу. Одни из них – я называю их problem enmeshers – обладают потрясающей способностью безнадежно запутать любой, самый простой вопрос. Таких мне не надо. Другие – это problem multiplicators – из одной задачи делают десять и работают с их решением слишком долго. Таких мне тоже не надо. Третьи – problem escapers – невероятно талантливы в умении избегать любых заданий и любой ответственности. И этих мне тоже не надо. Есть, наконец, те, кто умеет реально работать и решать проблемы – problem solvers, но мне их попадалось не более десятой части. Вот таких сотрудников я и хочу видеть».
Если еще упростить эту классификацию, то можно разделить всех работников всего на два класса:
- создаватели проблем (problem creators)
- решатели проблем (problem solvers)
Каждый работодатель хотел бы видеть у себя в организации только «решателей проблем», однако в среднем их в любой организации не больше 10% от штатной численности. На каждого «решателя проблем» приходится девять «создавателей проблем». Какие бы усилия по кадровому отбору мы не прикладывали, «создавателей проблем» все равно будет больше, чем «решателей».
Каким же образом организация может эффективно функционировать в таких условиях? Как же нам организовать армию работников, которые в силу своих ограниченных способностей, мотивационных или психологических особенностей, недостаточной квалификации и т.п., не в состоянии самостоятельно решать проблемы, ежечасно возникающие в бизнесе? В любой системе управления для этого используются документированные процедуры. Большинству работников не нужны проблемы бизнеса, чтобы их решать, им нужен четкий подробно документированный алгоритм действий, непрерывный внешний контроль и периодические мотивирующие воздействия. Для них, в основном, и создается документированная система менеджмента, частным случаем которой выступает СУИБ.
Как говорил в свое время великий предприниматель Генри Форд: «Средний работник, как ни прискорбно об этом говорить, ищет работу, не требующую ни физического, ни умственного напряжения. Люди с творческим типом мышления, испытывающие панический ужас перед однообразием, склонны верить, что и остальные находятся в постоянном поиске, и совершенно напрасно испытывают сострадание к рабочим, изо дня в день, выполняющим одни и те же действия».
Если в средней организации, в которой 90% работников составляют «создаватели проблем», ключевые процессы не документированы, то им открывается широкий простор для «творчества». В результате «решатели проблем», просто не успевают решать все проблемы, генерируемые «создавателями». В такой организации воцаряется хаос. Об эффективности и конкурентных преимуществах не может быть и речи.
В организации, в которой существует документированная система менеджмента и 90% работников трудятся в рамках четко прописанных процедур, а остальные 10% эти процедуры формируют и решают проблемы, которые в эти процедуры не укладываются, устанавливается здоровая рабочая атмосфера и порядок.