Сегодня посетил организованное Британским Институтом Стандартов мероприятие, посвященное официальному открытию программы Ассоциированных Консультантов Associate Consultancy Programme (ACP) в СНГ. Встреча проходила в Courtyard отеле в Москве, что на Вознесенском переулке. Ввиду особенностей моего характера, мне сложно более 10 минут слушать любого докладчика (без кальяна и без пива). Чтобы как-то сконцентрироваться на происходящем, я достал ежедневник и стал составлять конспект с выступлений…
На вступительное слово нового ген. директора российского отделения BSI Дмитрия Ярцева я почти не успел. Он сказал, между прочим, что BSI тоже пользуется русскими переводами стандартов, сделанными GlobalTrust, во время учебных курсов. Потом слушателей еще несколько раз отсылали “к Астахову за стандартами”, поскольку центральный офис не разрешает российскому отделению BSI самим осуществлять деятельность по их распространению. Существует заблуждение, что нам выгодно продавать русские редакции стандартов BSI и делать на этом бизнес. Пришлось это заблуждение развеивать. Во-первых, наш бизнес состоит вовсе не в продаже стандартов (это дело для нас бесприбыльное и занимаемся мы им не из коммерческих соображений). Во-вторых, если BSI разрешит, то мы с большим удовольствием опубликуем тексты всех стандартов в открытом доступе или хотя бы снизим цены, чтобы сделать их доступными для всех. Расширение рынка услуг в области внедрения и сертификации СУИБ нам куда более выгодно, нежели продавать стандарты за деньги. Коллеги из BSI со мной согласились и обещали похлопотать, но здесь я в успех не очень верю. Вряд ли BSI будет изменять лицензионную политику только ради нас.
Следующим выступал Андрю Лоун, Service Selivery Director EMEA. BSI, между прочим, не государственная и не коммерческая компания, являющаяся однако официальным органом Великобритании по стандартизации. BSI осуществляет свою деятельность на основании королевской лицензии, требующей от них, в частности, чтобы они всю прибыль инвестировали в развитие бизнеса. Все стандарты они делят на 3 секции: business performance, business sustainability и business risk. Наши риски, безопасность и непрерывность бизнеса попадают в последнюю.
BSI очень любит сертификационные знаки (это примерно как наш бывший знак качества СССР). У них есть собственный знак kitemark, европейский CE marking и др. Размах бизнеса BSI: 70 000 клиентов в 200 странах. Основные аккредитации: ANAB, UKAS, ATF, IRCA.
Много говорилось BSI о самом дорогом своем принципе – impartiality (беспристрастность). У них существует специальный Комитет по независимости (беспристрастности), зорко следящий за соблюдением данного основополагающего для любого аудитора принципа. Чтобы не оступиться и не впасть в зависимость от клиентов или партнеров, приходится соблюдать множество ограничений, например, нельзя платить комиссионные, проводить у клиента аудит ранее чем через 2 года после получения от него каких-либо денег, заниматься консалтингом и т.п. Все, что им нельзя делать, подробно перечислено в стандарте ISO 17021. Впрочем насчет запрета на оплату комиссионных вознаграждений, была сделана оговорка “we can not pay DIRECT commission”.
Главная тема – приглашение консультантов вступать в ряды ACP. Это глобальная партнерская программа BSI и 150 организаций по миру уже в нее вступили (обеспечивая BSI 10% от их клиентской базы). Чтобы не нарушить беспристрастности BSI мы, впрочем, не можем более именоваться их партнерами, а должны, если хотим, именоваться Ассоциированными консультантами. Это была уже тема выступления следующего докладчика – Сергея Романовского, BSI Business Development. Между прочим, лозунг BSI: стандарты от первого лица. Конкурентное преимущество прежнее (провозглашенное еще Натальей Горобец): русскоязычные аудиторы.
Консультантов BSI будет подвергать оценке на платной основе. Оценка (assessment) включает в себя:
– анализ бизнес инициатив (анализ выполнения бизнес-плана)
– оценка консультанта по требованиям международного стандарта ISO 10019 “МЕНЕДЖМЕНТ ОРГАНИЗАЦИИ. РУКОВОДСТВО ПО ВЫБОРУ КОНСУЛЬТАНТОВ ПО СИСТЕМАМ МЕНЕДЖМЕНТА КАЧЕСТВА И ИСПОЛЬЗОВАНИЮ ИХ УСЛУГ”
Участие в программе ACP сугубо добровольное. Сергей пообещал, что и с теми, кто не будет участвовать у них отношения не ухудшатся. Основные требования к ACP:
– оценка консультанта в его офисе
– предоставление подробных резюме специалистов, включая отзывы клиентов об их деятельности
– минимум 3 положительных отзыва о консультанте
– у УЦ должна быть линейка из 3 курсов (введение в стандарт, внедрение и аудит)
– для УЦ обязательна стажировка преподавателей
– специалисты должны проходить обучение не менее 2 дней в году
– посещение ACP events 4 раза в год
– наличие лицензий на осуществляемые виды деятельности
Посетовали, кроме всего прочего, на то, что много развелось ведущих аудиторов и преподавателей BSI, а также авторских учебных курсов с неясным статусом, но очень напоминающих курсы BSI. Не успевают разгребать жалобы на консультантов, обещающих больше, чем могут сделать и ссылающихся на партнерство с BSI.
Услышал новое (для меня) определение: “ISO 27001 – стандарт качества в сфере ИБ”. Если уж на то пошло, то можно и так: “ISO 27001 – стандарт ИБ в сфере качества” или, например, так: “ISO 27001 – качественный стандарт в сфере ИБ”, хотя лучше не надо.
Требования контракта между BSI и ACP (из области фантастики): о страховании рисков консультанта и необходимости уведомления BSI о невозможности выполнения консультантом своих обязательств перед клиентами.
Последним докладчиком, которого я дослушал, был Валерий Гирко, ведущий аудитор и преподаватель BSI. Он говорил о заблуждениях консультантов, основных принципах ISO и препятствиях к сертификации. В частности, ряд консультантов сами не понимают требований и подходов выраженных в стандарте, что выражается в следующем:
– стандарт используется как чеклист для проверки заказчика (вместо риск-ориентированного подхода)
– неправильно определяется область действия СУИБ
– внедрение стандарта консультантом завершается уже после первого этапа цикла Деминга и заказчик, вместо работающей СУИБ, остается с комплектом типовой документации, тиражируемой от одного проекта к другому
– руководители организаций, бывает, понимают что такое СУИБ, но не понимают как это применить в своей организации
– не уделяется внимания “проектированию метрик” для измерения эффективности СУИБ (третий этап цикла Деминга)
– незавершенность работы консультанта (все 4 этапа PDCA должны быть пройдены), в результате через год в организации “полная тишина”, СУИБ не работает
Другими словами, консультант, прежде чем передавать клиента на сертификацию, должен разработать документацию, запустить СУИБ, проконтролировать ее работоспособность и доработать.
Также были отмечены следующие препятствия к сертификации:
– нереалистичные сроки проведения работ по внедрению СУИБ (очевидно, это нельзя сделать за 2 месяца, какой бы не был бюджет)
– использование политик ИБ, унаследованных от других организаций, которые оказывают слишком сложными или наоборот слишком простыми для данной организации
– вместо системы корректирующих мер используется тактика затыкания дыр (несоответствий) СУИБ от аудита к аудиту
– слабые системы внутрифирменных коммуникаций
– бюрократические процедуры согласования и утверждения документов затягивают процесс
Проводился письменный опрос на тему: “Что нужно консультантам ACP от BSI?”. Я написал следующее:
– свободный доступ для консультантов к текстам всех стандартов BSI
– активное формирование рынка систем менеджмента со стороны BSI, совместное участие с консультантами в маркетинговых мероприятиях
– лоббирование интересов у регуляторов и в гос. органах (например, в рекомендациях британского информационного комиссариата (аналог нашего РКН) в разделе о защите персональных данных просто дана ссылка на ISO 27001 и карают там, не за невыполнение обязательных (взятых с потолка) требований, а за нарушение прав субъектов и причиненный им ущерб. Если бы у нас было также, то это лучшее, что BSI могли бы для нас и для себя сделать.
Недостатки ISO 27001
Послушав об ошибках консультантов и трудностях внедрения СУИБ, я задал представителям BSI вопрос о том, какие недостатки они видят в самом стандарте ISO 27001, препятствующие его более эффективному и осмысленному применению. Этот вопрос, как мне показалось, вызвал удивление в аудитории и был переадресован обратно мне. Отвечая на свой собственный вопрос, я сказал, что вижу достаточно больше количество недостатков и привел в качестве примера отсутствие в стандарте четких и жестких указаний по выбору и определению области действия СУИБ, в результате чего многие ОД (и соответствующие им СУИБ), либо являются ничтожными, либо просто неправильно определены. Нельзя допускать произвольного и необоснованного сужения области действия, по той причине, что на практике сложно себе представить ситуацию, когда СУИБ работает для одного или нескольких бизнес процессов организации в одном или нескольких отделах и не работает в остальной части организации. Очевидно, что такая СУИБ может существовать только на бумаге, а сертификаты, выданные на такие СУИБ, являются ничтожными и компрометируют всю систему сертификации. Мне начали возражать, главным образом тем, что тогда вообще никто сертификацию не сможет пройти и дальнейший спор перенесся в кулуары…
Среди прочих недостатков ISO 27001, которые я успел обсудить с коллегами, были также следующие:
– отсутствие четких указаний по документированию СУИБ (за исключением нескольких обязательных документов, явно указанных в стандарте, нет ни общего перечня документов, ни инструкций по его формированию, ни требований к содержанию документов). Это вызывает значительные трудности при внедрении СУИБ, т.к. мнения о том, сколько должно быть документов, какими они должны быть, что надо, а что не надо документировать и как это делать, могут сильно расходиться.
– стандарт не определяет четкой границы между СУИБ и СОИБ, техническими и организационными механизмами контроля. В результате, многие рассматривают СУИБ как чисто организационную составляющую СОИБ, несмотря на то, что в стандарте описываются оба класса контролей, которые, на практике, не могут друг без друга существовать.
– туманно определенное в стандарте разделение превентивных и корректирующих мер, только запутывает пользователей. Одна и та же мера может являться и превентивной и корректирующей, смотря по тому, как на это посмотреть.
Также я попытался донести до оппонентов мысль о том, что цикл Деминга PDCA, более правильно называть цикл PDC, поскольку последний этап цикла Aсt – это превентивные/корректирующие меры по совершенствованию СУИБ, а для того, чтобы реализовать какую-либо меру, ее надо спланировать, внедрить и контролировать. Другими словами Act – очередная итерация цикла PDC, а не отдельный четвертый этап цикла, как это у Деминга.
Также поговорили и о том, что ситуация, когда организация успешно прошла сертификационный аудит СУИБ по ISO 27001, а при этом у нее вся сетка “дырявая”, является неправильной. А это зачастую так и бывает, поскольку аудиторы ограничиваются только проверкой системы менеджмента. Надо ли при аудите СУИБ проверять настройки МЭ, маршрутизаторов, антивирусных систем, систем контроля доступа и прочих систем обеспечения безопасности (т.е. проводить комплексный аудит безопасности)? Если да, то на соответствие какие критериям/техническим стандартам? Как глубоко надо залезать в технические вопросы? Здесь опять вопрос корректности разделения технических и организационных мер, СУИБ и СОИБ. Я выступал за то, что аудит должен быть комплексным и включать в себя, в том числе, и анализ защищенности информационных систем и сетей организации. Только технический аудит или только аудит системы менеджмента не годится, т.к. не дает объективной картины уровня защищенности организации. Нельзя рассматривать организационные меры в полном отрыве от технических и наоборот, т.к., в большинстве ситуаций, одно без другого не работает. Бумажный аудит провели на ура, а периметр сети “дырявый”, значит система менеджмента почему-то не работает, сертификат на такую систему выдавать нельзя.
Comments (2)
Vlamo.Alebo@gmail.com 13-02-2012 09:43
О цикле Деминга
Александр, приветствую Вас! В какой-то период времени я также считал ошибкой наличие четвертого этапа “Act”, обычно трактуемого как выработка превентивных/корректирующих воздействий. Ибо в этом смысле получается “Act” ≡ “Plan”. Но при внимательном прочтении первоисточник (Deming “Out of the crisis”) появилась мысль, что Деминг с Шухартом (а точнее Шухарт и вслед за ним Деминг) в качестве четвертого этапа имели в виду такой важный аспект управленческого процесса, как формирование на основе результатов контроля побуждающих воздействий (т.е. Мотиваций и стимулов для всей системы, ориентированных на достижение поставленной цели). Т.о. если цикл PDCA мы будем интерпретировать как “планируй-делай-контролируй-мотивируй”, то все сходится.
С уважением,
Vlamo Alebo.
Александр Астахов 13-02-2012 10:28
О цикле Деминга
Не знаю, что думали об этом Деминг и Шухарт, но факт остается фактом. Смысл четвертого этапа в нынешней редакции стандарта не раскрыт. Мотивирование (т.е. мотивирующие воздействия), очевидно относятся к области контроля, которая в стандарте именуется “Управление кадрами” и включает в себя обучение, поощрения, дисциплинарный процесс и т.п. Эти механизмы контроля, также как и все остальные, планируются, внедряются и контролируются, т.е. реализуются в рамках первых трех этапов цикла.
Мне кажется четвертый этап цикла Деминга имеет смысл в том виде, как он определен в стандарте. Просто мы путаем механизмы контроля и корректирующие меры, а это не одно и то же. Надо чуть точнее прописать (с примерами) что такое механизм контроля и что такое корректировка этого механизма. Если корректирующая мера сама является механизмом контроля, то четвертый этап не нужен. Если механизмы контроля – это то, что планируется, внедряется и контролируется на первых трех этапах цикла, а корректирующая мера – это внесение изменений/уточнений в существующие механизмы контроля, не требующее прохождение первых трех этапов (в том числе отдельные мотивирующие воздействия, в отличие от спланированных и утвержденных политик в области мотивации), тогда все вполне логично.
В стандарте надо прописать, что механизм контроля – это не просто любое действие (мера) по уменьшению риска, а это спланированный, внедренный и контролируемый набор действий.
Корректирующая мера – это действие по корректировке существующих (спланированных, внедренных и контролируемых механизмов контроля), не являющееся само по себе новым механизмом контроля.