5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев

    Вторая стадия эмоционального реагирования на изменения – гнев. Этому соответствует наша стадия борьбы со сложностями начальной подготовки к сертификации – чему и посвящён наш сегодняшний рассказ.

    image

    Мы начали путь к сертификату со следующими исходными данными:

    • cроки сертификации: как можно скорее;
    • бюджет: чем меньше, тем лучше (но так, чтобы всё было прилично);
    • команда: 1,5-2 человека (менеджер проекта + периодически подключавшиеся сотрудники IT-отдела и руководство);
    • знания команды в области информационной безопасности: так себе.

    image

    Выглядит не очень впечатляюще, правда? Мы даже не представляли, с каким большим количеством сложностей нам придется столкнуться в процессе работы и какое серьезное количество решений нам предстоит принять.

    Мы ведь совсем ничего не знаем!


    Одна из основных сложностей заключалась в том, что в нашей компании никто не обладал достаточной экспертизой в области информационной безопасности. Ни у кого из сотрудников не было никаких профессиональных сертификатов и профессионального опыта внедрения системы менеджмента информационной безопасности. Это вызывало серьезные опасения: а справимся ли мы с этим? Может быть, нам сначала нужно пройти какое-то обучение? Или необходимо нанять человека, у которого уже есть такой опыт?

    Спойлер:
    Таких людей в принципе очень мало на рынке, так как на всю страну есть 70 действующих сертификатов.

    Действительно, можно нанять консультанта, но как мы сможем оценить его профессионализм, если мы сами ничего в этом не понимаем?

    Забегая вперёд, мы можем сказать: даже с такими исходными данными задача оказалась вполне решаемой. Главное – наличие у команды логики, здравого смысла и чёткого понимания того, зачем компании нужна сертификация.

    Может просто «загуглить»?


    У нас действительно не было экспертизы, но ведь в век современных технологий нам доступна практически любая информация – бесплатно или за совсем небольшие деньги. Поэтому в начале проекта мы полагали, что с легкостью найдем всю необходимую информацию для успешной подготовки к сертификации в Интернете, а также легко скачаем образцы всех нужных документов.

    В реальности всё оказалось совершенно не так:

    Во-первых, мы в принципе не совсем понимали, что конкретно нужно «гуглить».

    Во-вторых, всё, что мы находили в открытом доступе, было очень размытым – никакой конкретики, никаких реальных кейсов.

    В-третьих, все образцы документов, которые мы находили в Интернете, были совсем нерелевантными для нашей компании. И даже на английском языке практически отсутствовали доступные для понимания пошаговые инструкции и кейсы компаний, успешно прошедших сертификацию. Таким образом, путь к сертификату нам пришлось нащупывать самостоятельно.

    С какого конца начать распутывать клубок?


    После усиленного поиска информации в Интернете мы поняли, что для начала нам следует определиться с:

    • сертифицирующим органом;
    • консультантом по сертификации (ведь у нас реально нет экспертизы – и нужно найти кого-то, у кого она уже есть);
    • технологические средства для разработки и ведения системы (в последующих статьях мы более детально раскроем этот немаловажный пункт).

    Первые два – это ключевые контрагенты при проведении сертификации, к их выбору стоит отнестись очень внимательно (что мы и сделали). Таким образом, первое, на чём мы решили сфокусироваться – это проведение двух тендеров для выбора этих ключевых контрагентов.

    Как выбрать сертифицирующий орган?


    Безусловно, выбор сертифицирующего органа зависит от причин, побудивших вас заняться подготовкой к сертификации. Если Вы дошли до этого места в статье, то, вероятно, сертификат вам нужен не просто для галочки – иначе бы вы уже воспользовались услугами компаний, которые предлагают сделать сертификат за час и 10 тысяч рублей. Соответственно, вам стоит сосредоточить свое внимание на сертифицирующих органах, имеющих обширную международную практику и аккредитованных в интересующих Вас странах.

    Компаний, готовых сертифицировать вас в России по стандарту ISO 27001, не так уж много – мы отобрали около 10 приличных участников для тендера. Ключевыми критериями для выбора были:

    • наличие международных аккредитаций,
    • портфолио клиентов и их рекомендации,
    • цена.

    Удивительно, что по последнему пункту мы получили разброс почти в 10 раз! При этом некоторые из участников тендера заявили, что могут предоставить нам только аудитора-иностранца. Это автоматически означало прохождение сертификационного аудита на английском языке, что для нас, в принципе, не представляло большой проблемы, так как все ключевые сотрудники знают его на высоком уровне, но для кого-то это определенно может стать проблемой.

    Позже мы узнали, что специалистов, которые могут проводить сертификационный аудит по этому стандарту, в нашей стране очень немного. Почти все они работают на несколько сертифицирующих органов и знакомы друг с другом.

    Как выбрать консультанта по подготовке к сертификации?


    Компаний, предлагающих свои услуге по подготовке к сертификации, сейчас довольно много. Однако, не все из них реально могут помочь – некоторые из них, по сути, просто вышлют вам шаблоны политик, где нужно вставить имя вашей компании, не вникая при этом в ваши бизнес-процессы. Естественно, такой подход мало поможет вам при сертификации.

    Концептуально, есть 2 решения поставленной задачи:

    • Подготовка консультантом всех документов «под ключ». Этот подход, несомненно, позволит не сильно загружать своих сотрудников подготовкой к сертификации. Однако, здесь риск того, что ваши процессы и процедуры будут задокументированы недостаточно достоверно.
    • Проверка консультантом документов, подготовленных вашими сотрудниками. Здесь, вероятно, качество документации будет лучше, поскольку её будут готовить те сотрудники, которые хорошо знакомы с процессами.

    При подготовке к сертификации мы действовали по второму сценарию. Исходя из нашего опыта, можно дать несколько советов по поводу выбора консультанта для сертификации:

    image

    • Просите рекомендации компаний-консультантов у сертифицирующих органов, среди которых вы проводите тендер – именно так мы нашли своего.
    • Заранее обговаривайте и фиксируйте в договоре объем и состав работ, а также ответственность каждой стороны.
    • Поддерживайте связь с консультантом регулярно на протяжении всего периода подготовки к сертификации – это позволит сэкономить время и избежать необходимости переделывать большие куски документации.

    Окей, но теперь-то всё нормально?


    В процессе сбора материалов, необходимых для подготовки к сертификации, выяснились удивительные вещи. Например, тот факт, что ISO 27001 завязан на некоторое количество смежных стандартов (с которыми следует ознакомиться хотя бы поверхностно).

    Это, например, такие стандарты, как:

    • ISO 19011 – Руководящие указания по аудиту систем менеджмента
    • ISO 22301 – Системы менеджмента непрерывности бизнеса
    • ISO 31000 – Менеджмент рисков. Принципы и руководящие указания
    • ISO 27003 – Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности

    Вышеперечисленный список является основополагающим, но не всеобъемлющим. Каждая компания формирует его исходя из собственной потребности. Мы предпочли не «изобретать велосипед» и, например, в вопросах управления рисками и проведения аудита систем менеджмента опирались на ISO 31000 и ISO 19011 соответственно. Вспомогательный стандарт ISO 27003 помог нам своей сопутствующей информацией по внедрению 27001. Но больше всего мы работали с ISO 22301, который необходим для описания той части политик, которые отвечают за business continuity plan (BCP).

    Спойлер:
    Если в своих политиках вы ссылаетесь на конкретный стандарт, текст данного стандарта должен быть приобретен вами и быть в наличии.

    «Вишенкой» на торте стало отсутствие актуальных текстов этих стандартов в открытом доступе. Хочешь ознакомиться с содержанием – покупай официальный текст на сайте ISO за ~10 тысяч рублей.

    А сколько это будет стоить?


    В рамках подготовки к старту проекта мы, естественно, решили посчитать, во сколько нам обойдётся сертификация.

    Спойлер
    На компанию из 100 человек с 3 офисами мы потратили приблизительно 1 миллион рублей (и это без учёта стоимости часов сотрудников – эту страшную цифру мы просто решили не считать).
    Общая структура затрат на сертификацию в нашем случае выглядела так:

    — затраты на гонорар сертифицирующему органу,
    — затраты на гонорар консультанту для подготовки к сертификации,
    — командировочные расходы аудитора,
    — представительские расходы,
    — затраты на маркировку документов (на все папки с документами, коих в бухгалтерской компании невероятно много, пришлось наклеить наклейки разных цветов),
    — затраты на покупку официальных текстов стандартов,
    — затраты на оборудование всех помещений, выходящих на общую территорию бизнес-центров, СКУД (системами контроля и управления доступом),
    — затраты на софт (DLP-система, внедрение двухфакторной авторизации и т.д.),
    — модернизация «железа» компании (как серверного, так и «операционного»),
    — дополнительные затраты на ЦОД(ы),
    — человеко-часы сотрудников, вовлеченных в сертификацию.

    image

    Очень советуем заложить в бюджете запас, так как все необходимые затраты перед стартом проекта спрогнозировать крайне сложно.

    Таким образом, на старте проекта по сертификации мы испытали очень большое количество гнева – к счастью, в итоге нам удалось справиться и с этим. :)

    Читайте также:

    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата/
    5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг: подготовка плана внедрения, оценка рисков, написание политик.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 2

      0
      Не хватает вводной части, что это вообще за сертификация, зачем нужна и где была первая часть.
        0
        Добрый день! В конце статьи мы дали ссылку на первую часть, вот она

        В следующий раз перенесем ссылку в начало материала)

      Only users with full accounts can post comments. Log in, please.