В случае принятия любого стратегически важного решения для компании сотрудники проходят базовый защитный механизм, хорошо известный под названием 5 стадий реагирования на изменения (автор Э. Кюблер–Росс). Выдающийся психолог когда-то описала эмоциональные реакции, выделив 5 ключевых стадий эмоционального реагирования: отрицание, гнев, торг, депрессия и, наконец, принятие. Мы подготовили цикл статей, посвященных сертификации по ISO 27001, где рассмотрим каждую из стадий. Сегодня мы расскажем о первой из них – отрицание.
Получение сертификата ISO 27001 «для галочки» – удовольствие весьма сомнительное, ведь оно требует долгой и дорогостоящей подготовки. К тому же, как показывает статистика, данный стандарт на территории РФ крайне непопулярен: на сегодняшний день всего 70 компаний прошли сертификацию на соответствие. При этом за рубежом это один из наиболее востребованных стандартов, отвечающих растущим запросам бизнеса в области ИБ.
Наша компания оказывает полный спектр услуг аутсорсинга учетных функций: бухгалтерский и налоговый учет, расчет заработной платы и кадровое администрирование. Мы занимаем одну из лидирующих позиций рынка, в частности из-за того, что нам доверяю�� свою конфиденциальную информацию иностранные компании, имеющие подразделения на территории России. Это касается не только финансовых процессов наших клиентов, но и персональных данных, с которыми мы работаем ежедневно. В связи с этим вопрос информационной безопасности является одним из приоритетных для нас.
Зачастую все бизнес-процессы российских подразделений контролируются и декларируются головными офисами иностранных компаний, в связи с чем они должны соответствовать внутренним общегрупповым стандартам. В последнее время некоторые из наших ключевых клиентов начали пересматривать свои политики безопасности в сторону их ужесточения. Безусловно, это связано с общемировыми трендами по росту числа кибератак и убытков, связанных с инцидентами нарушения информационной безопасности.В случае необходимости внедрения средств защиты, политик и процедур, направленных на повышение информационной безопасности компании, можно обойтись и без ISO/IEC 27001 сертификации, сэкономив тем самым кучу денег, времени и нервов.
Сегодня в тендерах иностранных заказчиков начали появляться требования к существующей информационной безопасности в компании. Некоторые, дабы упростить себе проверку и унифицировать подход, ставят обязательным критерием оценки – наличие ISO/IEC 27001 сертификации.
У нас было так: один из ключевых международных клиентов, сертифицированных по этому стандарту, судя по всему, серьезно усилил свою глобальную команду по информационной безопасности. Как мы об этом узна��и? Они решили провести аудит нашей системы менеджмента информационной безопасности, ведь мы предоставляем им бухгалтерское обслуживание и кадровое администрирование – и, соответственно, защищенность наших информационных систем критически важна для них. Предыдущий аудит проходил 3 года назад – в тот раз всё прошло достаточно безболезненно.
В этот же раз на нас набросилась дружная команда индусов, ловко откопавшая несколько десятков недостатков в нашей системе управления безопасностью. Процесс аудита напоминал колесо Сансары – казалось, у них в принципе не было цели прийти к какой-то завершающей точке в рамках проверки. Это была бесконечная вереница вопросов, замечаний, наших комментариев и доказательств их реальности, конференц-звонков и длительных философских бесед в попытках распознать акцент IT security team клиента. Кстати, аудит продолжается с разной степенью интенсивности и по сей день – со временем мы уже с этим смирились. Таким образом, необходимость сертификации назрела сама по себе.
Может, мы обойдемся ISO 9001?
Все более-менее подкованные в вопросе сертификации по любому из стандартов ISO понимают, что основа для каждого из них – это сертификат ISO 9001 «Система менеджмента качества». Это, пожалуй, самый популярный в настоящее время сертификат из всей линейки стандартов ISO. У нас его не было – и мы решили его не получать. На то было несколько причин:
- сомнительная экономическая эффективность наличия данного сертификата у компании;
- наши внутренние процессы по большей части уже и так были приближены к данному стандарту;
- на получение данного сертификата потребовалось бы дополнительное время и деньги.
Соответственно, мы решили сразу внедрить ISO 27001, не начиная с более «легкого» 9001.
А может все-таки не надо?
Забегая вперед, мы много раз возвращались к вопросу о том, целесообразно ли его получение. Мы начали изучать вопрос со всех сторон, потому что у нас не было абсолютно никакой экспертизы. И вот заблуждения, которые заставили нас лишний раз задуматься над этим вопросом.
Заблуждение №1.
Мы надеялись, что стандарт предоставит нам подробный чек-лист, перечень политик и прочих уставных документов. В реальности оказалось, что ISO/IEC 27001 – это набор требований к самой системе управления информационной безопасности и выстраиваемому процессу. Основываясь на них, необходимо было самостоятельно решить, что написать / внедрить в нашей компании для соблюдения требований стандарта.
Заблуждение №2.
Мы искренне верили, что нам достаточно будет изучить один документ и реализовать его в относительно сжатые сроки самостоятельно. В реальности, читая документ, мы осознали, за какое количество смежных стандартов «цепляется» наш стандарт, со сколькими стандартами надо ознакомиться (хотя бы поверхностно). «Вишенкой» на торте стало отсутствие актуальных текстов стандартов в открытом доступе – их надо было покупать на официальном сайте ISO.
Заблуждение №3.
Мы были уверены, что найдем все необходимое для подготовки к сертификации в открытых источниках. Материалов по ISO 27001 в Интернете было и правда достаточно много, однако в них было довольно мало конкретики. Практически отсутствовали доступные для понимания пошаговые инструкции для подготовки к сертификации, а также реальные кейсы компаний, внедривших этот стандарт.
Заблуждение №4.
Мы напишем политики, а они работать не будут! Ну правда, в нашей компании и так уже слишком много правил, никто не будет соблюдать еще 3 десятка новых политик. В реальности, к счастью, наши сотрудники с ответственностью отнеслись к заданию освоить новые правила и успешно прошли тестирование на знание документов системы менеджмента информационной безопасности.
Заблуждение №5.
На тот момент мы не могли четко оценить, какую пользу мы получим от наших трудозатрат. Тогда количество запр��сов на наличие данного сертификата было не такое большое, а ключевой и самый требовательный клиент у нас появился задолго до сертификации. Опыт показывал, что мы справлялись и без стандарта.
В какой-то момент мы осознали, что мы в хаотичном порядке закрываем ту или иную возникающую брешь благодаря требованиям клиента. Каждый раз мы придумывали какие-то новые политики или решения. И мы наконец самостоятельно пришли к тому, что будет намного проще систематизировать процесс, что в последствии даже сэкономит нам большое количество трудозатрат. Стандарт был призван упростит эту задачу.
Сейчас, спустя два года, мы видим тенденцию повышения количества запросов и заинтересованности в данном вопросе со стороны крупнейших международных клиентов.
Финальное решение.
В заключение хотим сказать, что лидеры нашей отрасли получили сертификат ISO/IEC 27001, что заставило всех прочих крупных провайдеров (в том числе нас) задуматься над данным вопросом. Бесспорно, красивую строчку в маркетинговых материалах компании – на сайте, в социальных сетях, в рекламных брошюрах и т.д. – можно считать приятным бонусом, но стоит ли ради нее тратить столько ресурсов? Мы для себя определили, что для нас это больше, нежели просто красивая строчка, и ввязались в этот проект.
Читайте также:
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата/
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг: подготовка плана внедрения, оценка рисков, написание политик.
