Ожидания от качества ИБ

Алексей Сергеев, руководитель службы ИБ компании «НЕВАДА»

Какова польза для ИБ и бизнеса в целом от сертификации системы ИБ на соответствие стандартам качества? Среди специалистов доминирует точка зрения, что иные плюсы, кроме получения красивого сертификата, который можно кому-то показать, в этом увидеть сложно. Мы попросили поделиться своим мнением о сертификации Алексея Сергеева, руководителя службы ИБ компании «НЕВАДА».

!БДИ: Как вы объясняете скептическое отношение коллег к стандартам качества?

Алексей Сергеев: Думаю, отношение к сертификации, прежде всего, зависит от зрелости самих ИБ-шников. Скепсис возникает, когда они считают, что ИБ – лишь обеспечение безопасности как таковой. Но суть дела состоит совершенно в другом: ИБ должна помогать бизнесу, для чего быть органично интегрированной в бизнес-процессы. А для этого нужен конкретный план, дорожная карта точек стыковки с бизнесом. Стандарты позволяют ИБ показывать бизнесу, как мы работаем, насколько продуктивны и как, управляя своими процессами, можем встраиваться в бизнес-процессы компании без их нарушения. К сожалению, гораздо чаще на предприятиях доминирует ИБ-стратегия «все запретить» или, напротив, «все разрешить».

!БДИ: Компания «НЕВАДА» крупный региональный игрок, действующий на рынке розничных и оптовых продаж продуктов питания и ТНП в Хабаровском крае. А как в ней относятся к сертификации по ISO?

А. С.: У нас пока имеется только концепт сертификации по ISO, т.е. сертификата пока нет. Сама идея – не моя, она проскальзывала в СМИ, а вот инициатива была моей, и я прописал ее в ИБ-политике в виде тех бонусов, которые ИБ может дать бизнесу. Нам надо к чему-то идти, показывая бизнесу направление движения.

Не обязательно говорить про ISO. Основная мысль – нужно декларировать вовне то, что компания является надежным партнером. В частности, ИБ может дать бизнесу преимущество при заключении договоров на конкурентной основе. Обычно в таких случаях сначала играют другими картами – цена, сроки… Когда этих аргументов становится недостаточно, вступают в действие бонусы – наличие централизованного склада с новейшей пожарной системой и удобными подъездами или доставка собственными силами со страховкой товара. Некоторую роль играют «исторические» данные: например, компания работает на рынке 20 лет, что свидетельствует о ее стабильности. Абсолютно уверен, что к этому списку нужно добавить еще один пункт: «Мы – надежная компания, поскольку у нас ИБ – на высшем уровне».

Компания может заявить о своей надежности, продекларировав, что ее данные надежно сохраняются, что она не перестанет работать при вирусных или хакерских атаках, что выкладки по бонусам от поставщика и прайсам останутся тайной для третьих лиц. А как можно доказать надежность ИБ? Просто заявить, что у нас все хорошо, – это смешно. Показать подписанную директором Концепцию ИБ – да, уже лучше, но кто ее будет внимательно читать, да к тому же написать можно что угодно! Предъявить документ зарегистрированного образца (сертификат ISO или любой другой) – вот это уже весомый аргумент. Такого курса я и придерживаюсь.

!БДИ: Как относятся коллеги и партнеры компании к вашей инициативе?

А. С.: Думаю, половина из них скажет «нам все равно», а половина – «это интересно». Порой поставщики сетуют на то, что мы не обеспечили выполнение определенного положения SLA, например при отключении серверов на складах не смогли осуществить отгрузку. Для нас это означает издержки, простои, лишение бонусов, да и для них задержка фур – совсем не здорово.

!БДИ: Это – скорее, изнанка партнерских отношений. А к ISO это как относится?

А. С.: Все должно работать независимо не только от ISO, но и ни от чего вообще. ISO – это перечень требований к менеджменту информационной безопасности, а доступность сервисов – это и есть ИБ.

Почему специалисты по ИБ зачастую не видят смысла в сертификации по ISO 27001? К сожалению, покопавшись в Интернете, я нашел не так уж много примеров прохождения такой сертификации. Думаю, все зависит от того, какой у вас бизнес. Поставщики, в основном, требуют сертификации по ISO 9001, а сертификацию по ISO 27001 проходят преимущественно банки, ИТ-компании и продавцы, связанные с такими компаниями и банками. Кроме того, когда организация начинает работать с крупными зарубежными поставщиками, требования к ней становятся более жесткими. Сегодня некоторые компании выдвигают четкие требования к дистрибьюторам: например, количество точек должно быть таким-то, сроки реализации – такими-то, необходима сертификация по ISO 9001. Но я не удивлюсь, если буквально завтра мы получим в этих требованиях и сертификацию по ISO 27001.

В России бизнес ведется «по-разному», и далеко не все хотят, чтобы их информация распространялась вовне. Если утечки пластиковых карточек вызывают шумиху, то про утечки своих прайс-листов компании так громко не объявляют. А ведь это – реальная проблема, которая приводит к потерям бонусов, клиентов и поставщиков. Если такое случится с нами, пусть даже в одной из дочерних компаний, то конкуренты смогут «перебить» наши цены, буквально на копейку снизив их по сравнению с нашим прайсом. В результате мы потеряем не только клиентов, но и поставщиков, по которым снизятся обороты. В нашем бизнесе разница цен, составляющая всего две-три копейки, приводит к потерям огромных денег.

!БДИ: Признаться, я скептически отношусь к рассуждениям о репутационных рисках – кажется, что речь идет о чем-то выдуманном. Ну какие могут быть репутационные риски, скажем, у РЖД? Кто-то откажется от их услуг?

А. С.: С РЖД – все верно, но, скажем, в нашем бизнесе репутационные издержки – вовсе не выдуманные. Например, мы «подцепили» вирус-шифровальщик, и он зашифровал базу 1С в одном из подразделений, где все было организовано не так, как предписывалось. В результате подразделение оказалось практически парализованным на четыре дня. А ведь при снижении уровня обслуживания, оговоренного с поставщиком, мы можем лишиться соответствующих бонусов – и это далеко не все потери. Торговые точки, с которыми мы работаем, делают заказы, а наши агенты отвечают: «Извините, мы не можем их выполнить, у нас склад встал». И партнеры вынуждены передавать заказы другим поставщикам. Значит, мы теряем еще и агентские бонусы с продаж, так как снижаются объемы поставок. Если такие случаи происходят неоднократно, компания становится менее привлекательным партнером.

!БДИ: Следует ли из сказанного, что уровень информационной безопасности должен соответствовать уровню зрелости бизнеса?

А. С.: Вне всяких сомнений!

!БДИ: А как быть в том случае, если уровень зрелости ИБ превышает уровень зрелости бизнеса? Это – путь к конфликту?

 А. С.: Вовсе не обязательно. Представим, что какая-то компания состоит из трех человек, один из которых неплохо разбирается в ИБ. Очевидно, что внедрение ISO 27001 в данной компании совершенно не оправданно. Это – уровень зрелости ИБ, не соответствующий уровню данного бизнеса. Но даже в таком случае грамотный специалист по ИБ может оценить необходимость затрат на информационную безопасность при развитии бизнеса. Компании не просто растут, а почти всегда растут лавинообразно. И через пять лет какая-то из них вдруг понимает, что у нее есть 30 магазинов, 10 торговых точек, куча серверов, доставка, склад, но нет ни одного безопасника. А отсюда – куча проблем с утечками, из-за которых страдает бизнес. Другими словами, если уровень ИБ-зрелости в компании – выше уровня зрелости самого бизнеса, то задача ИБ – брать развитие компании под контроль и встраиваться как можно раньше во все бизнес-процессы.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.