В случае принятия любого стратегически важного решения для компании сотрудники проходят базовый защитный механизм, хорошо известный под названием 5 стадий реагирования на изменения (автор Э. Кюблер–Росс). Выдающийся психолог когда-то описала эмоциональные реакции, выделив 5 ключевых стадий эмоционального реагирования: отрицание, гнев, торг, депрессия и, наконец, принятие. Мы подготовили цикл статей, посвященных сертификации по ISO 27001, где рассмотрим каждую из стадий. Сегодня мы расскажем о первой из них – отрицание.
Получение сертификата ISO 27001 «для галочки» – удовольствие весьма сомнительное, ведь оно требует долгой и дорогостоящей подготовки. К тому же, как показывает статистика, данный стандарт на территории РФ крайне непопулярен: на сегодняшний день всего 70 компаний прошли сертификацию на соответствие. При этом за рубежом это один из наиболее востребованных стандартов, отвечающих растущим запросам бизнеса в области ИБ.
Наша компания оказывает полный спектр услуг аутсорсинга учетных функций: бухгалтерский и налоговый учет, расчет заработной платы и кадровое администрирование. Мы занимаем одну из лидирующих позиций рынка, в частности из-за того, что нам доверяют свою конфиденциальную информацию иностранные компании, имеющие подразделения на территории России. Это касается не только финансовых процессов наших клиентов, но и персональных данных, с которыми мы работаем ежедневно. В связи с этим вопрос информационной безопасности является одним из приоритетных для нас.
Зачастую все бизнес-процессы российских подразделений контролируются и декларируются головными офисами иностранных компаний, в связи с чем они должны соответствовать внутренним общегрупповым стандартам. В последнее время некоторые из наших ключевых клиентов начали пересматривать свои политики безопасности в сторону их ужесточения. Безусловно, это связано с общемировыми трендами по росту числа кибератак и убытков, связанных с инцидентами нарушения информационной безопасности.В случае необходимости внедрения средств защиты, политик и процедур, направленных на повышение информационной безопасности компании, можно обойтись и без ISO/IEC 27001 сертификации, сэкономив тем самым кучу денег, времени и нервов.
Сегодня в тендерах иностранных заказчиков начали появляться требования к существующей информационной безопасности в компании. Некоторые, дабы упростить себе проверку и унифицировать подход, ставят обязательным критерием оценки – наличие ISO/IEC 27001 сертификации.
У нас было так: один из ключевых международных клиентов, сертифицированных по этому стандарту, судя по всему, серьезно усилил свою глобальную команду по информационной безопасности. Как мы об этом узнали? Они решили провести аудит нашей системы менеджмента информационной безопасности, ведь мы предоставляем им бухгалтерское обслуживание и кадровое администрирование – и, соответственно, защищенность наших информационных систем критически важна для них. Предыдущий аудит проходил 3 года назад – в тот раз всё прошло достаточно безболезненно.
В этот же раз на нас набросилась дружная команда индусов, ловко откопавшая несколько десятков недостатков в нашей системе управления безопасностью. Процесс аудита напоминал колесо Сансары – казалось, у них в принципе не было цели прийти к какой-то завершающей точке в рамках проверки. Это была бесконечная вереница вопросов, замечаний, наших комментариев и доказательств их реальности, конференц-звонков и длительных философских бесед в попытках распознать акцент IT security team клиента. Кстати, аудит продолжается с разной степенью интенсивности и по сей день – со временем мы уже с этим смирились. Таким образом, необходимость сертификации назрела сама по себе.
Может, мы обойдемся ISO 9001?
Все более-менее подкованные в вопросе сертификации по любому из стандартов ISO понимают, что основа для каждого из них – это сертификат ISO 9001 «Система менеджмента качества». Это, пожалуй, самый популярный в настоящее время сертификат из всей линейки стандартов ISO. У нас его не было – и мы решили его не получать. На то было несколько причин:
- сомнительная экономическая эффективность наличия данного сертификата у компании;
- наши внутренние процессы по большей части уже и так были приближены к данному стандарту;
- на получение данного сертификата потребовалось бы дополнительное время и деньги.
Соответственно, мы решили сразу внедрить ISO 27001, не начиная с более «легкого» 9001.
А может все-таки не надо?
Забегая вперед, мы много раз возвращались к вопросу о том, целесообразно ли его получение. Мы начали изучать вопрос со всех сторон, потому что у нас не было абсолютно никакой экспертизы. И вот заблуждения, которые заставили нас лишний раз задуматься над этим вопросом.
Заблуждение №1.
Мы надеялись, что стандарт предоставит нам подробный чек-лист, перечень политик и прочих уставных документов. В реальности оказалось, что ISO/IEC 27001 – это набор требований к самой системе управления информационной безопасности и выстраиваемому процессу. Основываясь на них, необходимо было самостоятельно решить, что написать / внедрить в нашей компании для соблюдения требований стандарта.
Заблуждение №2.
Мы искренне верили, что нам достаточно будет изучить один документ и реализовать его в относительно сжатые сроки самостоятельно. В реальности, читая документ, мы осознали, за какое количество смежных стандартов «цепляется» наш стандарт, со сколькими стандартами надо ознакомиться (хотя бы поверхностно). «Вишенкой» на торте стало отсутствие актуальных текстов стандартов в открытом доступе – их надо было покупать на официальном сайте ISO.
Заблуждение №3.
Мы были уверены, что найдем все необходимое для подготовки к сертификации в открытых источниках. Материалов по ISO 27001 в Интернете было и правда достаточно много, однако в них было довольно мало конкретики. Практически отсутствовали доступные для понимания пошаговые инструкции для подготовки к сертификации, а также реальные кейсы компаний, внедривших этот стандарт.
Заблуждение №4.
Мы напишем политики, а они работать не будут! Ну правда, в нашей компании и так уже слишком много правил, никто не будет соблюдать еще 3 десятка новых политик. В реальности, к счастью, наши сотрудники с ответственностью отнеслись к заданию освоить новые правила и успешно прошли тестирование на знание документов системы менеджмента информационной безопасности.
Заблуждение №5.
На тот момент мы не могли четко оценить, какую пользу мы получим от наших трудозатрат. Тогда количество запросов на наличие данного сертификата было не такое большое, а ключевой и самый требовательный клиент у нас появился задолго до сертификации. Опыт показывал, что мы справлялись и без стандарта.
В какой-то момент мы осознали, что мы в хаотичном порядке закрываем ту или иную возникающую брешь благодаря требованиям клиента. Каждый раз мы придумывали какие-то новые политики или решения. И мы наконец самостоятельно пришли к тому, что будет намного проще систематизировать процесс, что в последствии даже сэкономит нам большое количество трудозатрат. Стандарт был призван упростит эту задачу.
Сейчас, спустя два года, мы видим тенденцию повышения количества запросов и заинтересованности в данном вопросе со стороны крупнейших международных клиентов.
Финальное решение.
В заключение хотим сказать, что лидеры нашей отрасли получили сертификат ISO/IEC 27001, что заставило всех прочих крупных провайдеров (в том числе нас) задуматься над данным вопросом. Бесспорно, красивую строчку в маркетинговых материалах компании – на сайте, в социальных сетях, в рекламных брошюрах и т.д. – можно считать приятным бонусом, но стоит ли ради нее тратить столько ресурсов? Мы для себя определили, что для нас это больше, нежели просто красивая строчка, и ввязались в этот проект.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата
Xo4y_3uMy
Так с какими проблемами вы столкнулись на стадии реализации? И еще куча и куча вопросов…
Вы провели большую работу и получили 27001, молодцы! Но вот как вы это сделали — я не понял…На кого повесили обязанности внутреннего аудитора, кого выбрали для внешнего аудита?
Каких ресурсов вам это стоило? Времени и денег. Почему не упоминаете весь свод ISO 27000?
Например ISO 27003 прямо описывает что и как делать и в какой последовательности:
UPD. Я внезапно понял, что это только первая статья из цикла. Надеюсь увидить ответы на мои возникшие вопросы в следующих публикациях. В любом случае 27001 — это конская задача, молодцы что справились!
Acsour Автор
Вопросов действительно много, и их было не вместить в один материал)) Именно поэтому мы разделили информацию на 4 статьи, где мы подробно раскроем эти вопросы, в том числе про аудиторов и затраченные ресурсы)
Xo4y_3uMy
Очень жду! Я просто с этим стандартом 27000 недавно начал превентивно разбираться.
Согласно планам и пожеланиям заказчиков надо будет получить сертификат к 22 году… Благо личный опыт получения 9001 есть, да и PCI DSS тоже знаком.