В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация “не работает” и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.
К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно “не работает”. Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации – появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора – сами оказывают консалтинговые услуги и сами же проводят сертификацию.
В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого — повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.
Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути – его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.
Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели – будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса – необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.
Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO27001 в России – это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.
Почему же не работает?
Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.
Есть два фактора, по которым косвенно судят об улучшениях услуг или продукции – мнение независимых рейтингов (различные тесты) и мнение самих потребителей, выраженное в виде спроса (или его отсутствия) на продукцию. Если у компании появляются сомнения в работе созданной и сертифицированной системы управления, она может пожаловаться в орган по сертификации, а в дальнейшем, в случае проблем с сертифицирующей компанией, в орган по аккредитации. Это является одной из причин к более глубокому изучению аудитором сертифицируемой компании. Нужно также помнить про моменты, связанные со зрелостью СУИБ, – чем больше времени компания работает с СУИБ, тем точнее результаты ее работы, выше компетентность ее сотрудников и лучше понимание, как СУИБ влияет на бизнес и потребителей.
Далее возникает вопрос доверия – доверяете ли вы аудиторской компании? Понятно, что всякого рода карманные структуры не могут объективно гарантировать качество сертификации, только независимые компании, которые существуют на рынке десятки лет, и имеют развитые функции самоконтроля и контроля со стороны аккредитующих структур, могут вызывать доверие. Особенно это касается международных компаний, которым есть что терять и с чем сравнивать.
Гарантирует ли безопасность?
В любом случае, какая бы сертификация или независимый аудит не был – по SOX, по VISA PCI или аттестация ФСТЭК, все это не может гарантировать непревзойденной и нерушимой безопасности, но, тем не менее, обеспечивает элементарные функции контроля и выполнения известных требований перед регулирующими структурами.
Задача стандарта ISO 27001 и сертификации по нему – не гарантировать безопасность, а обеспечивать работу над ошибками, готовиться к их наступлению (разрабатывать планы действий при их наступлении), по возможности предвидеть будущие проблемы (анализировать риски).
Основное внимание должно быть уделено именно контролю со стороны внешних аудиторов, поскольку персонал организации может элементарно не выполнять заявленные требования, также как и неопытный консультант может допустить определенные ошибки. В таком случае аудиторы не должны допускать сертификации или отзывать/приостанавливать выданный сертификат.
Безопасность – это “процесс, а не цель”: постоянно появляются новые угрозы безопасности, существуют социальные атаки (подкуп, шантаж), растет количество сложно обнаруживаемых злоумышленных действий инсайдеров. “Все течет, все изменяется”,- говорили древние философы – это, в частности, применимо к понятию безопасность. Аудит и контроль позволяют обнаруживать мелкие изменения, крупные же, в свою очередь, должны контролироваться на этапе их одобрения руководством.
Кто прошел сертификацию
Согласно реестру сертификатов ISO/IEC 27001:2005 в СНГ, только в России за последние 2 года появилось девять сертифицированных компаний: CMA Small Systems AB, “Крок”, Data Fort, РОСНО, “Рутэния”, “Лукойл-Информ”, Luxsoft, “Межрегиональный ТранзитТелеком” (МТТ), “Ланит” и “ТрансТелеКом”.
Это небольшое по сравнению с общемировыми показателями количество. Тот факт, что в списке в основном находятся ведущие игроки в своей отрасли – говорит о том, что процесс сертификации, видимо, отражает действительность зрелых организаций. Стоит также отметить, что все указанные компании были сертифицированы известными международными аудиторами.
Если проанализировать тенденцию, становится очевидным, что на сертификацию выходят в основном компании, в которых годами складывалась корпоративная культура управления информационной безопасностью, что, по сути, отражается в виде признания данных успехов и сертификации. Не стоит забывать, что стандарт отражает так называемые “лучшие практики”, при этом уровень зрелости компании по вопросам информационной безопасности обычно складывается годами путем проб и ошибок. Почему же у российских компаний для этого нет грамотных специалистов и понимания руководством современных требований бизнеса?
Постепенно выгоду от сертификации и потребность в международных стандартах осознали наиболее консервативные, но и наиболее заинтересованные в информационной безопасности предприятия – это банковские и финансовые организации. В настоящий момент крупнейший российский банк – Сбербанк России – получил сертификат по стандарту управления ИТ-сервисами ISO 20000, который включает в себя также процесс управления информационной безопасностью в соответствии с ISO/IEC 27001:2005. Недавно “АзияУниверсалБанк”, в совет директоров которого входят Майкл Меред (бывший представитель МВФ в Киргизии), Боб Доул и Беннетт Джонстон (экс-сенаторы США), стал первым банком в СНГ, получившим сертификат именно по информационной безопасности.
Процесс сертификации по международным стандартам систематически проверяется со стороны соответствующих регулирующих организаций. По неофициальным данным, недавно Россия прошла очередную проверку со стороны надзирающего органа по аккредитации – UKAS. И, видимо, учитывая усилия, которые демонстрируют российские компании на пути к международным стандартам, недавно в России проходило заседание подкомитета ISO/IEC JTC1/SC27 (“Безопасность информационных технологий”), где обсуждались, в частности, вопросы развития стандартов ISO по информационной безопасности, и в том числе, стандарта ISO/IEC 27001:2005.
В завершение хотелось бы сказать несколько слов о связи между сертификацией и бизнесом. Начнем с того, что все работы по созданию СУИБ начинаются только после документирования в первую очередь бизнес-целей и уже после того – целей СУИБ. Достижение этих целей является смыслом процесса анализа со стороны руководства. Получение новых контрактов, выход на новые рынки, привлечение инвестиций, повышение привлекательности при слиянии и продаже бизнеса, повышение рейтинга компании международными рейтинговыми агентствами – это только малая часть того, почему руководители компаний задумываются о создании СУИБ по международным стандартам и ее сертификации. Нужно отметить, что те компании на российском рынке, которые уже сертифицировались, не только имеют четкие цели в этой части, но многие их уже достигли в той или иной мере.
Михаил Пышкин, 2008, cnews.ru