Что дает сертификация по ISO/IEC 27001, и оправданы ли мучения?

Прежде всего, стоит сказать пару слов о самом стандарте, потому что без понимания того, что он собой представляет, дальнейший разговор теряет всякий смысл.

В интернете легко найти определение, которое говорит, что данный стандарт описывает требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). СМИБ ‑ часть общей системы менеджмента, отвечающая за обеспечение информационной безопасности и оценку рисков в организации.

Задача СМИБ гораздо шире, чем может показаться на первый взгляд. Поскольку она призвана обеспечить комплексную безопасность и доступность информационных активов, то в список задач входит и управление реестром информационных активов, и создание резервных копий различных документов, и обеспечение физической безопасности оборудования… Словом, тем организациям, в которых под информационной безопасностью понимается исключительно контроль действий пользователей, предстоит приложить немало труда для того, чтобы построить собственную СМИБ.

СМИБ может вполне эффективно работать, будучи построенной и без следования каким бы то ни было стандартам, однако не всякому «безопаснику» не во всякой компании это под силу. В то же время отраслевые стандарты объединяют уже накопленный опыт в сфере управления информационной безопасностью с хорошо зарекомендовавшими себя практиками менеджмента, которые подробно расписаны в других стандартах серии ISO (самый популярный из них – ISO-9001). Пожалуй, именно в этом главная ценность ISO-27001: благодаря согласованности с другими стандартами группы ISO, он позволяет органично вписать управление информационной безопасностью в другие бизнес-процессы, не ущемляя ни права пользователей, ни возможности сотрудников отдела информационной безопасности.

Практика показывает, что те организации, где уже работает стандарт ISO-9001, смогут и ISO-27001 внедрить с гораздо меньшим количеством проблем и нестыковок. Поэтому, если у вас уже пройдена сертификация по ISO 9001, то и родственного ему стандарта в области информационной безопасности бояться нечего.

Впрочем, даже если компания уже сертифицирована по ISO-9001, сертификация по ISO-27001 является достаточно трудоёмким и непростым процессом, а потому нужно представлять себе, какие преимущества она может дать организации, которая на неё решится. На сайтах и в рекламных брошюрах тех консалтеров, которые оказывают услуги по сертификации, можно найти красочное перечисление всего того, что должна дать сертификация отважившейся на неё компании. Конечно, далеко не все из радужных обещаний оказываются воплощенными на практике, но, тем не менее, ряд плюсов сертификация компании всё-таки даёт.

Первое и, зачастую, наиболее весомое преимущество – имиджевое. Пройдя сертификацию, можно повысить привлекательность в глазах корпоративных клиентов и партнеров, которые внимательно относятся к вопросам обеспечения информационной безопасности.

Впрочем, как говорится в рекламе одного достаточно известного напитка, имидж – ничто. Особенно в тех случаях, когда с безопасностью действительно есть заметные невооруженным глазом проблемы. Поэтому второе по счету (а по важности, пожалуй, первое) преимущество прохождения сертификации по ISO-27001 – это улучшение ситуации с обеспечением информационной безопасности в организации. К сожалению, зачастую руководители не понимают того факта, что в перспективе это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности. Конечно, банковской сфере в этом плане, можно сказать, повезло больше, чем, например, промышленности, но и в ней часто можно встретить непонимание руководителями далеко идущих последствий обеспечения или необеспечения информационной безопасности в их компаниях.

Третьим наиболее значимым преимуществом внедрения ISO-27001 является повышение прозрачности работы всех отделов для высшего руководства компании. Это касается и отдела информационной безопасности, деятельность которого для многих руководителей сродни какому-то непонятному магическому ритуалу.

Конечно, на этих трёх пунктах список тех плюсов, которые может получить организация, пройдя сертификацию по ISO-27001, не заканчивается. Для каждого банка, страховой компании, лизинговой компании или другой финансовой организации эти преимущества могут быть своими, в зависимости от текущего положения дел в обеспечении информационной безопасности и от того, какие задачи ставит перед собой отдел информационной безопасности при прохождении сертификации.

Принципиальным при прохождении сертификации является именно вопрос постановки цели: для чего требуется прохождение сертификации – для соответствия формальным требованиям, записанным в стандарте, или для реального повышения уровня защищенности от информационных угроз? Понятно, что при выполнении «от корки до корки» всех требований стандарта получится повысить и уровень защищенности, но цена за это может оказаться достаточно высокой. Поэтому необходимо тщательно проанализировать стандарт и то, насколько сложно его будет применить при текущей организации бизнес-процессов в вашей компании. Вполне может оказаться, что нет смысла использовать весь стандарт целиком – возможно, рациональнее будет постараться применить в ваших условиях только отдельные его части, либо же вовсе нанять опытного и грамотного «безопасника», который сможет реорганизовать работу отдела информационной безопасности «не по бумажке».

Насколько трудным и долгим окажется внедрение стандарта? Заранее сказать сложно. Автору знаком пример организации (работающей, правда, не в банковской сфере), которая посчитала, что у неё на всё про всё уйдет около двух месяцев, в то время как консалтеры, помогавшие во внедрении стандарта, оценили общий срок в полгода. В итоге, правыми не оказались ни те, ни другие – вожделенный сертификат руководство компании смогло повесить на стену своего кабинета больше чем через год.

В целом же можно констатировать, что внедрение стандарта ISO 27001 – довольно долгая процедура, продолжительность которой зависит от многих факторов: начального состояния ИБ в организации, готовности руководства и персонала к преобразованиям, величины компании, других внедренных стандартов (в частности, уже упоминавшегося ранее ISO 9001). Заранее сказать «среднюю температуру по больнице» в случае со сроками внедрения стандарта и прохождения сертификации нельзя, потому что есть очень много переменных факторов, от которых зависит этот срок.

Как показывает опыт многих организаций, решившихся на сертификацию, одним из самых трудных моментов является выстраивание у руководителей различных уровней «процессного мышления», почему, собственно говоря, и заметно ускоряется внедрение ISO-27001 в тех организациях, где уже успешно внедрен ISO-9001. Хотя, конечно, если внедрение стандартов – «инициатива снизу», то одним из серьезнейших препятствий может стать противодействие переменам со стороны высшего руководства компании.

Приведение бизнес-процессов в соответствие с требованиями стандартов может оказаться менее трудоёмкой задачей, если на помощь приходят специалисты в этих вопросах – консалтинговые компании. Они могут и определить общую степень готовности организации к прохождению сертификации, и помочь на каждом из этапов движения к ней. Единственное, пожалуй, в чем они не могут помочь – это в определении того, насколько сертификация вам нужна в принципе, потому что сказать, что она не нужна для них, означает лишиться очередного достаточно выгодного клиента. Поэтому, прежде чем идти к консалтерам, нужно определиться с тем, что вы хотите получить в итоге, иначе можно потратить кучу денег на то, что окажется в итоге совершенно невостребованных и ненужным.

К выбору консалтеров, которые будут помогать вам во внедрении ISO-27001, нужно подойти максимально тщательно. В противном случае можно и вовсе не дождаться сертификации. Само собой, стоит навести справки у тех, кто уже прибегал к их услугам.

Несмотря на то, что услуги консалтинговой компании стоят, как правило, немало, будет ошибочным думать, что решение справиться собственными силами позволит вашей организации сэкономить. Тому, кто никогда не работал с международными стандартами в области менеджмента, довольно трудно сходу построить систему управления информационной безопасностью таким образом, чтобы она удовлетворила сертифицирующие организации. А каждая итерация с исправлением ошибок стоит денег. Кроме того, весьма сложно порой определить, какие именно риски наиболее существенны для организации, и отказаться от защиты, которая используется по привычке, а не по необходимости. А эта защита также стоит денег.

Кстати, зачастую компании думают, что сертифицированная система управления информационной безопасностью будет обходиться им дороже, чем несертифицированная. Однако чаще расходы после сертификации, напротив, уменьшаются, благодаря тому, что организация концентрируется на существенных для неё рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.

Это те основные моменты, которые следует знать о сертификации тому, кто что-то о ней слышал и начинает задумываться, но ещё не знает точно, чего ожидать и к чему стремиться. В Сети можно найти массу более подробных статей на данную тему, поэтому тем, кто заинтересовался, хочу пожелать успехов в дальнейших поисках.

автор Вадим Станкевич

по материалам сайта bankir.ru