У выпадку прыняцця любога стратэгічна важнага рашэння для кампаніі супрацоўнікі праходзяць базавы ахоўны механізм, добра вядомы пад назвай 5 стадый рэагавання на змены (аўтар Э. Кюблер-Рос). Выбітны псіхолаг калісьці апісала эмацыйныя рэакцыі, вылучыўшы 5 ключавых стадый эмацыйнага рэагавання: адмаўленне, гнеў, гандаль, дэпрэсія і, нарэшце, прыняцце. Мы падрыхтавалі цыкл артыкулаў, прысвечаных сертыфікацыі па ISO 27001, дзе разгледзім кожную са стадый. Сёння мы раскажам аб першай з іх - адмаўленне.
Атрыманне сертыфіката ISO 27001 для галачкі - задавальненне вельмі сумнеўнае, бо яно патрабуе доўгай і дарагой падрыхтоўкі. Да таго ж, як паказвае , дадзены стандарт на тэрыторыі РФ вельмі непапулярны: на сённяшні дзень усяго 70 кампаній прайшлі сертыфікацыю на адпаведнасць. Пры гэтым за мяжой гэта адзін з найбольш запатрабаваных стандартаў, якія адказваюць расце запытам бізнесу ў галіне ИБ.
Наша кампанія аказвае поўны спектр паслуг аўтсорсінгу уліковых функцый: бухгалтарскі і падатковы ўлік, разлік заработнай платы і кадравае адміністраванне. Мы займаем адну з лідзіруючых пазіцый рынку, у прыватнасці з-за таго, што нам давяраюць сваю канфідэнцыйную інфармацыю замежныя кампаніі, якія маюць падраздзяленні на тэрыторыі Расіі. Гэта датычыцца не толькі фінансавых працэсаў нашых кліентаў, але і персанальных дадзеных, з якімі мы працуем штодня. У сувязі з гэтым пытанне інфармацыйнай бяспекі з'яўляецца адным з прыярытэтных для нас.
Часцяком усе бізнэс-працэсы расійскіх падраздзяленняў кантралююцца і дэкларуюцца галаўнымі офісамі замежных кампаній, у сувязі з чым яны павінны адпавядаць унутраным агульнагрупавых стандартам. У апошні час некаторыя з нашых ключавых кліентаў пачалі пераглядаць свае палітыкі бяспекі ў бок іх узмацнення жорсткасці. Безумоўна, гэта звязана з агульнасусветнымі трэндамі па росце колькасці кібератак і страт, звязаных з інцыдэнтамі парушэння інфармацыйнай бяспекі. У выпадку неабходнасці ўкаранення сродкаў абароны, палітык і працэдур, накіраваных на павышэнне інфармацыйнай бяспекі кампаніі, можна абысціся і без ISO/IEC 27001 сертыфікацыі, зэканоміўшы тым самым кучу грошай, чакай і нерваў.
Сёння ў тэндэрах замежных заказчыкаў пачалі з'яўляцца патрабаванні да існуючай інфармацыйнай бяспекі ў кампаніі. Некаторыя, каб спрасціць сабе праверку і ўніфікаваць падыход, ставяць абавязковым крытэрам адзнакі – наяўнасць ISO/IEC 27001 сертыфікацыі.
У нас было так: адзін з ключавых міжнародных кліентаў, сертыфікаваных па гэтым стандарце, мяркуючы па ўсім, сур'ёзна ўзмацніў сваю глабальную каманду па інфармацыйнай бяспецы. Як мы пра гэта даведаліся? Яны вырашылі правесці аўдыт нашай сістэмы менеджменту інфармацыйнай бяспекі, бо мы даем ім бухгалтарскае абслугоўванне і кадравае адміністраванне - і, адпаведна, абароненасць нашых інфармацыйных сістэм крытычна важная для іх. Папярэдні аўдыт праходзіў 3 гады таму - у той раз усё прайшло досыць бязбольна.
У гэты ж раз на нас накінулася дружная каманда індусаў, якая спрытна адкапала некалькі дзясяткаў недахопаў у нашай сістэме кіравання бяспекай. Працэс аўдыту нагадваў кола Сансары - здавалася, у іх у прынцыпе не было мэты прыйсці да нейкай завяршальнай кропкі ў рамках праверкі. Гэта была бясконцая чарада пытанняў, заўваг, нашых каментароў і доказаў іх рэальнасці, канферэнц-званкоў і працяглых філасофскіх гутарак у спробах распазнаць акцэнт IT security team кліента. Дарэчы, аўдыт працягваецца з рознай ступенню інтэнсіўнасці і дагэтуль - з часам мы ўжо з гэтым змірыліся. Такім чынам, неабходнасць сертыфікацыі наспела сама па сабе.
Можа, мы абыдземся ISO 9001?
Усё больш-менш падкаваныя ў пытанні сертыфікацыі па любым са стандартаў ISO разумеюць, што аснова для кожнага з іх - гэта сертыфікат ISO 9001 "Сістэма менеджменту якасці". Гэта, мабыць, самы папулярны ў наш час сертыфікат з усёй лінейкі стандартаў ISO. У нас яго не было - і мы вырашылі яго не атрымліваць. На тое было некалькі прычын:
- сумнеўная эканамічная эфектыўнасць наяўнасці дадзенага сертыфіката ў кампаніі;
- нашыя ўнутраныя працэсы па большай частцы ўжо і так былі набліжаныя да дадзенага стандарту;
- на атрыманне дадзенага сертыфіката спатрэбіўся б дадатковы час і грошы.
Адпаведна, мы вырашылі адразу ўкараніць ISO 27001, не пачынальна з лягчэйшага 9001.
А можа, усё ж не трэба?
Забягаючы наперад, мы шмат разоў вярталіся да пытання аб тым, ці мэтазгодна яго атрыманне. Мы пачалі вывучаць пытанне з усіх бакоў, бо ў нас не было абсалютна ніякай экспертызы. І вось памылкі, якія прымусілі нас лішні раз задумацца над гэтым пытаннем.
Памылка №1.
Мы спадзяваліся, што стандарт дасць нам падрабязны чэк-ліст, пералік палітык і іншых статутных дакументаў. У рэальнасці аказалася, што ISO/IEC 27001 – гэта набор патрабаванняў да самой сістэмы кіравання інфармацыйнай бяспекі і выбудоўваецца працэсу. Грунтуючыся на іх, неабходна было самастойна вырашыць, што напісаць / укараніць у нашай кампаніі для захавання патрабаванняў стандарту.
Памылка №2.
Мы шчыра верылі, што нам дастаткова будзе вывучыць адзін дакумент і рэалізаваць яго ў адносна сціснутыя тэрміны самастойна. У рэальнасці, чытаючы дакумент, мы ўсвядомілі, за якую колькасць сумежных стандартаў "чапляецца" наш стандарт, са колькімі стандартамі трэба азнаёміцца (хоць бы павярхоўна). «Вішанкай» на торце стала адсутнасць актуальных тэкстаў стандартаў у адкрытым доступе - іх трэба было купляць на афіцыйным сайце ISO.
Памылка №3.
Мы былі ўпэўненыя, што знойдзем усё неабходнае для падрыхтоўкі да сертыфікацыі ў адчыненых крыніцах. Матэрыялаў па ISO 27001 у Інтэрнэце было і сапраўды дастаткова шмат, аднак у іх было даволі мала канкрэтыкі. Практычна адсутнічалі даступныя для разумення пакрокавыя інструкцыі для падрыхтоўкі да сертыфікацыі, а таксама рэальныя кейсы кампаній, якія ўкаранілі гэты стандарт.
Памылка №4.
Мы напішам палітыкі, а яны працаваць не будуць! Ну праўда, у нашай кампаніі і так ужо занадта шмат правіл, ніхто не будзе выконваць яшчэ 3 дзясяткі новых палітык. У рэальнасці, на шчасце, нашы супрацоўнікі з адказнасцю паставіліся да задання асвоіць новыя правілы і паспяхова прайшлі тэсціраванне на веданне дакументаў сістэмы менеджменту інфармацыйнай бяспекі.
Памылка №5.
На той момант мы не маглі дакладна ацаніць, якую карысць мы атрымаем ад нашых працавыдаткаў. Тады колькасць запытаў на наяўнасць дадзенага сертыфіката была не такая вялікая, а ключавы і самы патрабавальны кліент у нас з'явіўся задаўга да сертыфікацыі. Досвед паказваў, што мы спраўляліся і без стандарту.
У нейкі момант мы ўсвядомілі, што мы ў хаатычным парадку закрываем той ці іншы які ўзнікае пралом дзякуючы патрабаванням кліента. Кожны раз мы прыдумлялі нейкія новыя палітыкі ці рашэнні. І мы нарэшце самастойна прыйшлі да таго, што будзе нашмат прасцей сістэматызаваць працэс, што ў далейшым нават зэканоміць нам вялікую колькасць працавыдаткаў. Стандарт быў закліканы спросціць гэтую задачу.
Цяпер, праз два гады, мы бачым тэндэнцыю павышэння колькасці запытаў і зацікаўленасці ў гэтым пытанні з боку найбуйнейшых міжнародных кліентаў.
Фінальнае рашэнне.
Напрыканцы жадаем сказаць, што лідэры нашай галіны атрымалі сертыфікат ISO/IEC 27001, што прымусіла ўсіх іншых буйных правайдэраў (у тым ліку нас) задумацца над дадзеным пытаннем. Бясспрэчна, прыгожы радок у маркетынгавых матэрыялах кампаніі - на сайце, у сацыяльных сетках, у рэкламных брашурах і г.д. - Можна лічыць прыемным бонусам, але ці варта дзеля яе марнаваць столькі рэсурсаў? Мы для сябе вызначылі, што для нас гэта больш, чым проста прыгожы радок, і ўвязаліся ў гэты праект.
Крыніца: habr.com