Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Стандарты информационной безопасности: внедрение как средство поддержания тонуса

(Нет голосов)

23.06.2011 Количество просмотров 1591 просмотр

Евгений Безгодов, исполнительный директор компании Deiteriy
Евгений БезгодовКак уже сообщал журнал «ПЛАС» в одной из публикаций на информационном портале www.plusworld.ru, 14 апреля 2011 г. в Банке России состоялось первое заседание Технического комитета «Стандарты финансовых операций», образованного Приказом Федерального агентства по техническому регулированию и метрологии 30 декабря 2010 г. №5527. Банк России считает создание Технического комитета важным итогом своей работы по анализу международных стандартов, который проводился с целью повышения эффективности функционирования национальной платежной системы. Инициатива Банка России по созданию Технического комитета по стандартизации финансовых операций нашла широкую поддержку: только в первом его заседании приняли участие 70 человек, представляющих 22 организации – ряд министерств и ведомств РФ, банковских ассоциаций, российских банков.

Своими основными задачами Технический комитет видит организацию и координацию процессов разработки национальных стандартов финансовых операций, адаптацию действующих международных стандартов с целью повышения эффективности российского сектора финансовых услуг и его интеграции с международными финансовыми рынками.

Одним из ключевых направлений деятельности комитета является развитие стандартов информационной безопасности организаций банковской системы Российской Федерации. Внедрение различных отраслевых, национальных и международных стандартов обеспечения информационной безопасности часто приносит организациям дополнительные преимущества, не описанные в самих документах и не предусмотренные на старте проекта. Однако такие преимущества подчас весьма ощутимы.

Преимущества и недостатки внедрения стандартов

Внедрение в компании международных, национальных и отраслевых стандартов, касающихся вопросов обеспечения информационной безопасности, таких как CobiT, ITIL, ISO 27001, PCI DSS или СТО БР ИББС-1.0, в общем случае дает такие преимущества, как приобщение к лучшим мировым и отечественным практикам, упорядочение бизнес-процессов организации в рамках предметной области стандарта и более строгое их исполнение сотрудниками. Разумеется, важную роль играет и сам факт исполнения стандарта, снижающий риски несоответствия регулирующим требованиям, повышающий авторитет компании, и нередко открывающий выходы на новые рынки.

Созвучны с этими преимуществами и мнимые или реальные недостатки стандартизации, среди которых излишняя формализация деятельности, бюрократизация, возрастающая нагрузка на исполнителей и аудиторов, несовершенство самих стандартов.

Обернется ли то или иное свойство стандартизации плюсом или минусом для организации – это во многих случаях зависит от качества внедрения. Кто-то внедряет «попроще и подешевле», для «галочки», и получает хоть и сведенную к минимуму, но абсолютно бессмысленную нагрузку для поддержания соответствия. Сильные компании подходят к внедрению каждого стандарта взвешенно, прорабатывают каждую деталь, вкладывают необходимые ресурсы в эффективное применение описанных в стандарте практик. При таком подходе становится возможным даже компенсировать недостатки не самого идеального стандарта, усиливая тем самым компанию изнутри, а не только делая более привлекательным ее внешний имидж.

Но неужели только эти преимущества подвигают компании по всему миру разрабатывать и внедрять стандарты практически во всех отраслях человеческой деятельности? На прошедшей осенью прошлого года в России 3-й Международной конференции по безопасности информации и сетей Security of Information and Networks (SIN 2010) был поднят вопрос о пользе стандартов в области информационной безопасности, таких как ISO 27001. Было высказано предположение о том, что количество создаваемых в компании документов и записей, предусмотренных данным стандартом, неоправданно велико. Ответ, прозвучавший в ходе обсуждения и отражающий мнение многих западных экспертов, является, пожалуй, и ответом на поставленный выше вопрос.

«Основная польза от внедрения любого стандарта состоит не в тех процессах, документах и записях, которые рождаются в его результате, а в том, что сотрудники, будучи вовлеченными в процесс внедрения, задумываются о своей компании, предметной области внедрения и смежных областях». Таким образом, сотрудники получают новые знания и систематизируют уже имеющиеся.

Разрабатывая и описывая бизнес-процессы, составляя классификаторы, справочники и другие материалы, требуемые стандартом, они часто впервые обращают внимание на факты и явления, которых не замечали ранее, решая повседневные задачи. Часто польза от таких «тренировок» бывает не меньше, чем от самого внедрения стандарта.

Вот первый пример. В начале 2000-х годов одна петербургская организация решила провести сертификацию своего центрального отделения по требованиям стандарта менеджмента качества ISO 9001. Руководство молодой и быстро развивающейся компании рассудило просто – ответственной за внедрение стандарта и сертификацию назначили сотрудницу, совмещавшую должности помощника директора и офис-менеджера. Ей на помощь в роли консультанта была призвана сторонняя организация.

Девушка вместе с консультантами приступила к изучению и упорядочиванию бизнес-процессов, разработке регламентов, инструкций, журналов. Поочередно проводя интервью с руководителями и исполнителями всех служб, она хорошо изучила их работу. В результате, помимо внедренных процессов менеджмента качества и соответствующего сертификата, компания получила сотрудника, который на протяжении следующих восьми лет являлся наиболее полным носителем знаний о компании и помогал ей развиваться, выступая руководителем службы качества.

Несколько лет назад эта компания повторила историю своего успеха. На этот раз ее героем стал руководитель проекта по внедрению ERP-системы. Как и положено для систем этого класса, в ней должны были быть автоматизированы все основные бизнес-процессы организации. Задача была успешно выполнена, а молодой человек за три года прошел путь от аналитика бизнес-процессов до операционного директора. За это время он успел изучить работу лучших представителей бизнес-процессов компании и теперь занимается распространением их опыта на все региональные подразделения.

Ярким примером дополнительного преимущества от внедрения стандартов в области информационной безопасности является информация о собственной инфраструктуре, получаемая компаниями в ходе аудита при внедрении стандартов PCI DSS и СТО БР ИББС-1.0.

В начале работ сотрудники часто относятся к проводимым аудитором интервью скептически, как к формальным мероприятиям. Однако в ходе общения, отвечая на вопросы въедливого аудитора, они нередко открывают для себя что-то новое о своих же системах.

Можно отметить, что повышение эффективности сотрудников компании происходит в период внедрения стандарта и действует некоторое время после его завершения, пока сохраняется натренированность участников проекта. Именно поэтому следует придерживаться принципа непрерывного улучшения, заложенного во многие современные стандарты, такие как ISO 9001, ISO 27001, СТО БР ИББС-1.0. Циклическое повторение этапов планирования, внедрения, мониторинга и совершенствования различных аспектов деятельности компании будет поддерживать сотрудников в тонусе и позволит им по-новому взглянуть на свою работу. Для совершения более значимых прорывов следует инициировать новые внедрения, открывающие сотрудникам мир с новой стороны



Евгений Безгодов – исполнительный директор компании Deiteriy. Исследует вопросы менеджмента информационной безопасности и управления соответствием требованиям национальных и международных нормативов, таких как ISO 27001, PCI DSS, стандарт Банка России, Законодательство в области защиты информации. Занимается внедрением методов управления информацией. Имеет практический опыт защиты информации в коммерческих структурах. Преподает ряд специальных дисциплин студентам высших учебных заведений.

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

…первая система бесконтактной оплаты в мире была внедрена в США в 1997 г., она называлась Speedpass, использовалась на АЗС, а форм-фактором платежного инструмента был RFID-брелок для ключей автомобиля?