У разі ухвалення будь-якого стратегічно важливого рішення для компанії співробітники проходять базовий захисний механізм, добре відомий під назвою 5 стадій реагування на зміни (автор Е. Кюблер-Рос). Видатний психолог колись описала емоційні реакції, виділивши 5 ключових стадій емоційного реагування: заперечення, гнів, торг, депресія і наостанок, прийняття. Ми підготували цикл статей, присвячених сертифікації ISO 27001, де розглянемо кожну зі стадій. Сьогодні ми розповімо про першу з них – заперечення.
Отримання сертифіката ISO 27001 «для галочки» – задоволення дуже сумнівне, адже воно потребує довгої та дорогої підготовки. До того ж, як свідчить , даний стандарт на території РФ вкрай непопулярний: на сьогоднішній день лише 70 компаній пройшли сертифікацію на відповідність. При цьому за кордоном це один з найбільш затребуваних стандартів, що відповідають запитам бізнесу в області ІБ.
Наша компанія надає повний спектр послуг аутсорсингу облікових функцій: бухгалтерський та податковий облік, розрахунок заробітної плати та кадрове адміністрування. Ми займаємо одну з лідируючих позицій ринку, зокрема тому, що нам довіряють свою конфіденційну інформацію іноземні компанії, що мають підрозділи на території Росії. Це стосується не лише фінансових процесів наших клієнтів, а й персональних даних, із якими ми працюємо щодня. У зв'язку з цим питання інформаційної безпеки є одним із пріоритетних для нас.
Найчастіше всі бізнес-процеси російських підрозділів контролюються та декларуються головними офісами іноземних компаній, у зв'язку з чим вони мають відповідати внутрішнім загальногруповим стандартам. Останнім часом деякі з наших ключових клієнтів почали переглядати свої політики безпеки у бік їхньої жорсткості. Безумовно, це пов'язано із загальносвітовими трендами щодо зростання кількості кібератак і збитків, пов'язаних з інцидентами порушення інформаційної безпеки. тим самим купу грошей, часу та нервів.
Сьогодні у тендерах іноземних замовників почали з'являтися вимоги до існуючої інформаційної безпеки компанії. Деякі, щоб спростити собі перевірку та уніфікувати підхід, ставлять обов'язковим критерієм оцінки – наявність ISO/IEC 27001 сертифікації.
У нас було так: один із ключових міжнародних клієнтів, сертифікованих за цим стандартом, зважаючи на все, серйозно посилив свою глобальну команду з інформаційної безпеки. Як ми про це дізналися? Вони вирішили провести аудит нашої системи менеджменту інформаційної безпеки, адже ми надаємо їм бухгалтерське обслуговування та кадрове адміністрування – і, відповідно, захищеність наших інформаційних систем є критично важливою для них. Попередній аудит проходив 3 роки тому - того разу все пройшло досить безболісно.
Цього ж разу на нас накинулася дружна команда індусів, яка спритно відкопала кілька десятків недоліків у нашій системі управління безпекою. Процес аудиту нагадував колесо Сансари – здавалося, у них у принципі не було мети дійти якоїсь завершальної точки в рамках перевірки. Це була нескінченна низка питань, зауважень, наших коментарів та доказів їхньої реальності, конференц-дзвінків та тривалих філософських бесід у спробах розпізнати акцент IT security team клієнта. До речі, аудит триває з різним ступенем інтенсивності і донині – згодом ми вже з цим упокорилися. Отже, необхідність сертифікації назріла як така.
Може ми обійдемося ISO 9001?
Усі більш-менш підковані в питанні сертифікації за будь-яким стандартом ISO розуміють, що основа для кожного з них – це сертифікат ISO 9001 «Система менеджменту якості». Це, мабуть, найпопулярніший нині сертифікат із усієї лінійки стандартів ISO. У нас його не було – і ми вирішили його не отримувати. На те було кілька причин:
- сумнівна економічна ефективність наявності цього сертифіката в компанії;
- наші внутрішні процеси здебільшого вже й так були наближені до цього стандарту;
- отримання цього сертифіката знадобився б додатковий час і гроші.
Відповідно, ми вирішили відразу впровадити ISO 27001, не починаючи з «легшого» 9001.
А може, все-таки не треба?
Забігаючи вперед, ми багато разів поверталися до питання, чи доцільне його отримання. Ми почали вивчати питання з усіх боків, тому що ми не мали абсолютно жодної експертизи. І ось помилки, які змусили нас вкотре замислитися над цим питанням.
Помилка №1.
Ми сподівалися, що стандарт надасть нам докладний чек-лист, перелік політик та інші статутні документи. В реальності виявилося, що ISO/IEC 27001 – це набір вимог до самої системи управління інформаційної безпеки і процесу, що вибудовується. Грунтуючись на них, необхідно було самостійно вирішити, що написати/впровадити у нашій компанії для дотримання вимог стандарту.
Помилка №2.
Ми щиро вірили, що нам достатньо буде вивчити один документ та реалізувати його у відносно стислий термін самостійно. Насправді, читаючи документ, ми усвідомили, за скільки суміжних стандартів «чіпляється» наш стандарт, зі скількома стандартами треба ознайомитися (хоч би поверхово). "Вишенькою" на торті стала відсутність актуальних текстів стандартів у відкритому доступі - їх треба було купувати на офіційному сайті ISO.
Помилка №3.
Ми були впевнені, що знайдемо все, що необхідно для підготовки до сертифікації у відкритих джерелах. Матеріалів за ISO 27001 в Інтернеті було й справді досить багато, проте в них було досить мало конкретики. Практично були доступні для розуміння покрокові інструкції для підготовки до сертифікації, а також реальні кейси компаній, які впровадили цей стандарт.
Помилка №4.
Ми напишемо політики, а вони не працюватимуть! Ну правда, в нашій компанії і так вже занадто багато правил, ніхто не дотримуватиметься ще 3 десятків нових політик. Насправді, на щастя, наші співробітники з відповідальністю поставилися до завдання освоїти нові правила та успішно пройшли тестування на знання документів системи менеджменту інформаційної безпеки.
Помилка №5.
На той момент ми не могли чітко оцінити, яку користь ми матимемо від наших трудових витрат. Тоді кількість запитів на наявність даного сертифіката була не така велика, а ключовий і найвибагливіший клієнт у нас з'явився задовго до сертифікації. Досвід показував, що ми справлялися без стандарту.
У якийсь момент ми усвідомили, що ми в хаотичному порядку закриваємо той чи інший пролом завдяки вимогам клієнта. Щоразу ми вигадували якісь нові політики чи рішення. І ми нарешті самостійно дійшли того, що набагато простіше систематизуватиме процес, що згодом навіть заощадить нам велику кількість трудовитрат. Стандарт був покликаний спростити це завдання.
Зараз, за два роки, ми бачимо тенденцію підвищення кількості запитів та зацікавленості в даному питанні з боку найбільших міжнародних клієнтів.
Фінальне рішення.
Насамкінець хочемо сказати, що лідери нашої галузі отримали сертифікат ISO/IEC 27001, що змусило всіх інших великих провайдерів (у тому числі нас) задуматися над цим питанням. Безперечно, гарний рядок у маркетингових матеріалах компанії – на сайті, у соціальних мережах, у рекламних брошурах тощо. - можна вважати приємним бонусом, але чи варто заради неї витрачати стільки ресурсів? Ми для себе визначили, що для нас це більше, ніж просто гарний рядок, і вплуталися в цей проект.
Джерело: habr.com