ISO 27001: модно и бессмысленно. 11.07.2022 08:12О том, что сертифицируется.
Не стоит забывать, что по ISO 27001 сертифицируется ПРОЦЕСС, а не компания и не система защиты. Это одно из ключевых отличий этого стандарта от "Общих критериев" или требований к аттестации автоматизированных систем. Вот это часто упускают из виду или просто не понимают. Если у вас сертифицирован один процесс, то есть множество других процессов, которые и могут стать теми самыми слабыми звеньями. Нельзя говорить "наша компания сертифицирована по ISO 27001" - это в корне неверно и говорит о непонимании стандарта.
Какие точно процессы идентифицировать для последующей сертификации стандарт не определяет. Эта гибкость стандарта делает его одновременно универсальным и сложным во внедрении для большинства компаний, которые не обладают соответствующей экспертизой и квалификацией. При этом основная сложность возникает не с точки зрения управления безопасностью, а с точки зрения правильной идентификации процессов.
Например, очень важно понимание самого термина "процесс". Кто-то воспринимает это просто. Все, что делает подразделение ИБ и есть процесс обеспечения информационной безопасности. Однако это слишком простое и не всегда правильное толкование. А как же сквозные процессы, которые пронизывают сразу несколько подразделений? Такими процессами очень сложно управлять, контролировать и измерять их эффективность. Более того. Их владельцами могут быть неспециалисты в области ИБ. Если компания, получившая сертификат на ISO 27001, смогла сделать это именно для такого процесса, то перед ней можно снять шляпу. Если же речь идет просто о сертификации "процесса ИБ" внутри самого отдела защиты информации, то это не более чем профанация идеи. По мнению специалистов, именно сквозные процессы (т.е. использование горизонтальной, а не вертикальной структуры в компании) и институт их владельцев отражает истинную суть процессного подхода. При этом при правильной постановке процесса его владелец практически не участвует в оперативном управлении, полагаясь на разработанный алгоритм и четко заданные границы (SLA).
Вот тут начинаются определенные сложности. Для того чтобы процесс был результативным, его владелец обычно пытается (или, как минимум, мечтает) захватить все доступные ресурсы… возможно даже в ущерб другим процессам. Не допустить этого и оптимизировать использование ресурсов и есть задача функциональных руководителей. Однако самая большая опасность, по мнению Демминга, — это оптимизация "в своих интересах", в ущерб интересов компании и бизнеса. А в случае с ИБ эта опасность проявляется с максимальной четкостью, т.к. ресурсы на нее либо не будут выделяться совсем, либо их будет недостаточно для эффективной и результативной работы процесса. Поэтому так важно налаживание контакта с линейными менеджерами и руководителями функциональных подразделений при построении сквозного процесса ИБ.
При внедрении процессного подхода необходимо учитывать, как минимум, 2 важных составляющих. Технология выполнения процесса (т.е. как выполняется деятельность, которая описывается процессом) и технология управления процессом (т.е. как эта деятельность управляется). Вторая часть тоже делится на организацию процесса и координацию его выполнения, что очень важно именно для сквозных процессов. Опять же, когда говорят про ISO 27001, обычно имеют в виду только вторую составляющую (система менеджмента). Но если у нас нет того, чем управлять, или эта деятельность не налажена, как можно внедрять систему управления?
Суть любого процессного подхода — достижение лучшего результата, чем есть сейчас. Результат же оценивает потребитель, а не тот, кто "рулит" тем или иным процессом. Если мы внедряем или улучшаем какой-то процесс, который затем получает наилучшие "оценки" у всех, кроме потребителя, то грош цена такому процессу — потребитель будет стараться обойти его всеми правдами и неправдами. Это объясняет многие неудачи с внедрением каких-либо неудобных в использовании, "тяжелых" систем защиты, которые хоть и решают проблемы с вирусами, червями, утечками, НДС и т.д., но в штыки воспринимаются пользователями.
Многие слишком уж много говорят о процессе, забывая, ради чего все это делается. Процесс ради процесса никому не нужен. Вот, допустим, внедрили мы проект по управлению процессом ИБ. А какой эффект достигнут? Что это дало? Обычно все хвалятся полученным сертификатом, а не результатом улучшения деятельности компании, для которой этот процесс и внедрялся. Вроде все сделали, как написано в стандарте и связанных документах, но эффект не виден или его никто не может посчитать. А ведь ISO 27001, как и ряд других "безопасных" стандартов — это набор лучших практик, т.е. в их основе лежит полученная в реальной жизни отдача от внедрения тех или иных защитных технологий или мер. Так стоила ли овчинка выделки? Или опять внедрение было формальным, только ради заветной бумажки, которая не является финальной стадией в процессе управления безопасностью, как считают некоторые.
Так что же не дает нам эффективно внедрять систему менеджмента и процессный подход в ИБ? Все дело в отсутствии четкой системы, ориентированной на результат, имеющей конкретные цели и измеримой на каждом этапе. При этом надо понимать, что безопасность находится в худшей ситуации, чем, например, финансы, у которых есть хотя бы итоговые показатели, которые определяют успех или неудачу в бизнесе. В безопасности обычно нет ни конечных итоговых показателей, ни тем более, системы оценки создания ценности для потребителя на каждом этапе. А в такой системе очень важен выбор целей, которые в отличие от финансов должны быть скорее качественными, чем количественными. И цели эти должны пронизывать все процессы ИБ, от стратегических до операционных. Причем это относится ко всей цепочке создания ценности для потребителя; и не стоит забывать, что наиболее интересны и сложны именно сквозные процессы.
Автор Лукацкий
