Поделиться
Может ли сертификация гарантировать безопасность?
В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO17001 в России - это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.
Почему же не работает?
Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.
Есть два фактора, по которым косвенно судят об улучшениях услуг или продукции - мнение независимых рейтингов (различные тесты) и мнение самих потребителей, выраженное в виде спроса (или его отсутствия) на продукцию. Если у компании появляются сомнения в работе созданной и сертифицированной системы управления, она может пожаловаться в орган по сертификации, а в дальнейшем, в случае проблем с сертифицирующей компанией, в орган по аккредитации. Это является одной из причин к более глубокому изучению аудитором сертифицируемой компании. Нужно также помнить про моменты, связанные со зрелостью СУИБ, – чем больше времени компания работает с СУИБ, тем точнее результаты ее работы, выше компетентность ее сотрудников и лучше понимание, как СУИБ влияет на бизнес и потребителей.
Далее возникает вопрос доверия - доверяете ли вы аудиторской компании? Понятно, что всякого рода карманные структуры не могут объективно гарантировать качество сертификации, только независимые компании, которые существуют на рынке десятки лет, и имеют развитые функции самоконтроля и контроля со стороны аккредитующих структур, могут вызывать доверие. Особенно это касается международных компаний, которым есть что терять и с чем сравнивать.
Гарантирует ли безопасность?
В любом случае, какая бы сертификация или независимый аудит не был - по SOX, по VISA PCI или аттестация ФСТЭК, все это не может гарантировать непревзойденной и нерушимой безопасности, но, тем не менее, обеспечивает элементарные функции контроля и выполнения известных требований перед регулирующими структурами.
Задача стандарта ISO 27001 и сертификации по нему - не гарантировать безопасность, а обеспечивать работу над ошибками, готовиться к их наступлению (разрабатывать планы действий при их наступлении), по возможности предвидеть будущие проблемы (анализировать риски).
Основное внимание должно быть уделено именно контролю со стороны внешних аудиторов, поскольку персонал организации может элементарно не выполнять заявленные требования, также как и неопытный консультант может допустить определенные ошибки. В таком случае аудиторы не должны допускать сертификации или отзывать/приостанавливать выданный сертификат.
Безопасность – это "процесс, а не цель": постоянно появляются новые угрозы безопасности, существуют социальные атаки (подкуп, шантаж), растет количество сложно обнаруживаемых злоумышленных действий инсайдеров. "Все течет, все изменяется",- говорили древние философы - это, в частности, применимо к понятию безопасность. Аудит и контроль позволяют обнаруживать мелкие изменения, крупные же, в свою очередь, должны контролироваться на этапе их одобрения руководством.
Кто прошел сертификацию
Согласно реестру сертификатов ISO/IEC 27001:2005 в СНГ, только в России за последние 2 года появилось девять сертифицированных компаний: CMA Small Systems AB, "Крок", Data Fort, РОСНО, "Рутэния", "Лукойл-Информ", Luxsoft, "Межрегиональный ТранзитТелеком" (МТТ), "Ланит" и "ТрансТелеКом".
Поделиться
Короткая ссылка
