УДК 621.322 Райкова Н.О.
ЗАО «НПО «Эшелон», Москва, Россия
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СТАНДАРТОВ МЕНЕДЖМЕНТА КАЧЕСТВА И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
В современном мире с появлением распространенных и удобных технических устройств, обозначилась довольно остро проблема защиты информации. Наряду с выпуском качественной продукции или оказанием услуг предприятиям, а так же организациям важно сохранять в тайне нужную информацию от конкурентов, чтобы оставаться на выгодных позициях на рынке. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.
Таким образом, лидерами на рынке становятся организации, придерживающиеся лучших мировых практик, содержащих требования, руководства по внедрению систем управления бизнес процессами организации. Лучшими стандартами по разработке, внедрению, мониторингу и улучшению таких систем являются документы Международной Организации по стандартизации (ISO). Особое внимание необходимо уделить стандартам серий ISO 900x и ISO 2700x, в которых собраны лучшие практики по внедрению системы менеджмента качества и системы менеджмента информационной безопасности.
Система менеджмента качества, внедренная в соответствии с требованиями стандарта ISO 9001, давно признана неотъемлемым атрибутом успешной компании, производящей высококачественную продукцию или оказывающие услуги высокого класса. Сегодня наличие сертификата соответствия является одновременно эффективным маркетинговым решением и механизмом контроля процессов производства. Аудит СМК является развитым направлением бизнеса.
Ежедневно усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них. Аудит СМИБ позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании.
Стандарты по системе менеджмента качества
ISO 900x — серия международных стандартов, описывающих требования к системе менеджмента качества организаций и предприятий. Серия стандартов ISO 900x разработана Техническим комитетом 176 (ТК 176) Международной Организации по стандартизации.
В основе стандартов лежат идеи и положения теории всеобщего менеджмента качества (TQM) [1].
Серия стандартов ISO 900x затрагивает различные аспекты управления качеством и включает наиболее известный стандарт ISO 9001. Стандарты содержат руководства и инструментарий для компаний и организаций, которые хотят, чтобы их продукция и/или услуги постоянно отвечали требованиям заказчика, а качество постоянно улучшалось. Стандарт ISO 9001:2008 (российский аналог ГОСТ ИСО 9001:2011) устанавливает требования к системе менеджмента качества, а стандарт ISO 9000 содержит основные понятия и словарь, в свою очередь, стандарт ISO 9004 сосредоточен на том, как сделать систему управления качеством более эффективной и работоспособной. Стандарт ISO 9011 -это руководство по проведению внутреннего и внешнего аудитов систем менеджмента качества.
Стандарт ISO 9001:2008 устанавливает требования к системам менеджмента качества и является единственным стандартом, в соответствии с которым может быть проведена внешняя сертификация (хотя это не является обязательным требованием). Он может быть использован любой организацией, вне зависимости от сферы деятельности. ISO 9001:2008 внедрен более чем в 170 странах мира, количество организаций, внедривших стандарт превышает 1 миллион [2].
Основой стандарта является ряд принципов менеджмента качества, в том числе большое внимание уделено удовлетворенности потребителя, мотивации и вовлеченности высшего руководства, процессному подходу и постоянному совершенствованию. Использование ISO 9001:2008 гарантирует, что потребители получат продукцию и услуги стабильно хорошего качества, что в свою очередь, принесет много преимуществ бизнесу.
Проверка работоспособности системы является важной частью стандарта ISO 9001:2008. Организации должны проводить внутренние аудиты для проверки работы системы менеджмента качества. Организация может принять решение пригласить независимый орган по сертификации для проверки, что не противоречит требованиям стандарта. В качестве альтернативы, она может предложить своим клиентам самим провести аудит системы качества (аудит второй стороны).
Стандарты по системе менеджмента информационной безопасности
ISO/IEC 2700x — серия международных стандартов, включающая стандарты по информационной безопасности (ИБ) опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области ИБ для создания, развития и поддержания СМИБ. Серия ISO/IEC 2700х демонстрирует целую систему нормативных международных документов, отражающих западную модель управления ИБ, содержащую руководства, правила, меры безопасности [3-9].
Один из самых известных и практичных стандартов - ISO/IEC 27001:2005 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (российский аналог ГОСТ Р ИСО/МЭК 27001-2006) [5].
Стандарт определяет информационную безопасность как: «сохранение конфиденциальности, целостно-
сти и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Стандарт содержит руководство как по внедрению СМИБ, так и по получению сертификата третьей стороны, свидетельствующего, что средства управления безопасности существуют и функционируют в соответствии с требованиями этого стандарта. Стандарт описывает СМИБ как всеохватывающую систему менеджмента, построенную на принципах бизнес-рисков, для внедрения, эксплуатации, мониторинга и поддержки системы управления безопасностью [7].
Преимущество международных стандартов и статистика внедрения
Внедрение международных стандартов приносит технологические, экономические и социальные преимущества. Они помогают гармонизировать технические характеристики товаров и услуг, делают отрасль более эффективной и способствуют устранению барьеров в международной торговле. Соответствие
международным стандартам помогает убедить потребителей, что продукты являются надежными, эффективными и безопасными для окружающей среды.
Для бизнеса международные стандарты - это стратегические инструменты, руководства помогающие компаниям решить некоторые из самых насущных проблем современного бизнеса. Они обеспечивают как можно более высокую эффективность бизнес - операций, повышают производительность и помогают компаниям получить доступ на новые рынки. Согласно обзору ISO за 2012 год (последний официальный обзор) [10] по соответствию ISO стандартам, самые популярные стандарты во всём мире представлены в таблице 1.
Таблица 1 - Топ самых востребованных ISO стандартов за 2012 год
№ Стандарт Наименование стандарты Количество сертификатов
1 ISO 9001 Управление качеством 1 101 272
2 ISO 14001 Экологический менеджмент 285 844
3 ISO/TS 16949 Система менеджмента качества для производителей серийных и запасных частей для автомобильной промышленности 50 071
4 ISO 13485 Менеджмент качества для медицинских устройств 20 034
5 ISO 22000 Управления безопасностью пищевой продукции 23 231
6 ISO/IEC 27001 Менеджмент информационной безопасности 19 577
В таблице 2 представлены данные по количеству выданных сертификатов за 2011-2012 года. Из таблицы видно, что присутствует стабильный интерес к области ИБ и сертификации СМИБ по стандарту ISO/IEC 27001 (в 2012 году выдано почти 20 000 сертификатов, в 103 странах). Среди самых популярных этот стандарт занимает шестое место. Проводя анализ тенденции развития, можно увидеть, что темпы роста ISO/IEC 27001 одни из наиболее высоких.
Стандарт ISO 9001 занимает первое место по количеству выданных сертификатов. Однако, тенденция развития роста одна из самых низких.
Таблица 2 - Статистика количества выданных сертификатов за 2011-2012 года
Стандарт Количество сертификатов в 2012 Количество сертификатов в 2011 Прирост Прирост в %
ISO 9001 1 101 272 1 07 9 647 21 625 2 %
ISO 14001 285 844 261 957 23 887 9 %
ISO/IEC 27001 19 577 17 355 2 222 13 %
ISO 22000 23 231 19 351 3 880 20 %
ISO/TS 16949 50 071 47 512 2 559 5 %
ISO 13485 22 237 19 84 9 2 388 12 %
Сходства стандартов ISO 9001 и ISO 27001
Оба стандарта построены на принципе «процессного подхода» при разработке, внедрении и улучшении результативности СМИБ [11]. Под «процессным подходом» понимается система индификации и менеджмента применяемых оргинизацией процессов, а так же обеспечения их взаимодействия. Главное преимущество данного подхода состоит в непрерывном управления (на стыке процессов, их различных комбинациях и взаимодействии). Одной из методик внедрении «процессного подхода» к управлению является классический замкнутый цикл менеджмента Plan-Do-Check-Act (PDCA, «планирование — осуществление — проверка— действие»), известный как «цикл Деминга», «цикл Деминга-Шухарта», который и заложен в основу модели организации процессов СМК стандарта ISO 9001:2008 и СМИБ стандарта
Рисунок 1 - Цикл Деминга
Кроме одинакового «процессного подхода», стандарты СМК и СМИБ соответствуют друг другу, и более того, имеют похожее строение в плане требований, что отраженно в приложении к стандарту ISO 27001. Стандарты ISO 27001 и ISO 9001 имеют схожую структуру регулирования системой качества и системой информационной безопасности. При этом можно сделать вывод, что стандарт ISO 27001 имеет более широкое применение.
Интегрирование стандартов менеджмента
На первый взгляд, менеджмент качества и информационная безопасность - совершенно различные области. Однако на практике они тесно связанны и образуют одно целое. Удовлетворение потребностей клиентов, составляющее объективную цель качества, с каждым годом всё больше зависит от доступности информационных технологий и от безопасности данных, для поддержания которых и используется стандарт ISO 27001. С другой стороны, стандарт ISO 9001 точно соответствует корпоративным целям организации, помогая обеспечивать менеджмент информационной безопасности. Благодаря комплексному подходу ISO 27001 может быть эффективно интегрирован в существующие СМК или осуществляться вместе с СМК.
Более 27 200 организаций самых различных отраслей в более чем 100 стран мира сертифицированы на соответствие ISO 9001:2008 по управлению качеством. В зависимости от рынка и требований зако-
нодательства, многие организации все чаще вынуждены иметь дело с ИБ. В этой связи, интеграция системы управления предлагает реальные возможности. Комплексный подход так же интересен для компаний, которые не использовали любой процесс управления до сих пор. Стандарты ИСО качества (ISO 9001), охраны окружающей среды (ISO 14000), информационной безопасности (ISO 27001) и управления ИТ-услугами (ISO 20000) имеют аналогичную структуру и процессный подход. Это дает синергию, которая окупается: на практике интегрированная система менеджмента на текущую эксплуатацию экономит около 20 до 30 процентов от общего объема расходов для оптимизации системы, проверок и ревизий.
Стандарты информационной безопасности и управления качеством направленны на постоянное совершенствование в соответствии с моделью PDCA. Кроме того, они похожи в своих структурах, как показано в таблице соответствия в приложении С стандарта ISO 27001. В обоих стандартах определены понятия процессного подхода, области действия, требования к системе и документации, а также административная ответственность. В обоих случаях структура заканчивается внутренним аудитом, анализом со стороны руководства и улучшением системы. В этом обе системы взаимодействуют. Например, ISO 9001 требует управление несоответствующей продукцией. Аналогично, в стандарте ISO 27001 существует требование по управлению инцидентами для устранения сбоев.
Различия между стандартами полезно дополняют друг друга, что решительно способствует повышению делового успеха. Например, ISO 9001 требует определения корпоративных целей, ориентированности на клиента и измеримости, в какой степени цели и задачи выполнены. Эти три вопроса, которые не находятся в центре интересов ISO 27001. В свою очередь, этот стандарт придает первостепенное значение управлению рисками для поддержания непрерывности бизнеса и предлагает подробную помощь в реализации СМИБ. По сравнению с этим, ISO 9001 является в большей степени теоретическим стандартом.
ISO 27001 - стандарт не только для ИТ
Многие считают, что стандарт ISO 27001 предназначен только для ИТ-процессов, когда на самом деле это не так. Основополагающим пунктом по внедрению СМИБ стандарта ISO 27001 служит определение активов [5,6].
Под активом понимается всё, что представляет для компании ценность. То есть активом могут быть: человеческие ресурсы, инфраструктура, инструменты, оборудование, средства коммуникации, службы и любые другие активы, включая услуги по поставке закупаемой продукции. Исходя из процессов, компания определяет: какие у неё есть активы, и какие активы задействованы в критичных процессах, производит оценку ценности активов. И уже только после этого производится оценка рисков по всем ценным активам. Таким образом, СМИБ предназначена не только для цифровой информации, которая обрабатывается в автоматизированной системе. СМИБ охватывает все способы, с помощью которых может храниться важная информация в вашей компании.
ISO 9001 не может удовлетворять потребностям компании в ИБ, имея узкую направленность на качество продукции. Поэтому очень важно внедрять в компании ISO 27001. На первый взгляд специалисту может показаться, что оба стандарта очень общие, и не имеют конкретики. Однако это не так, в стандарте ISO 27001 описан практически каждый шаг по внедрению и контролю функционирования СМИБ.
Важные моменты управления информационной безопасностью
Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.
Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими. В этом им может помочь внедрение СМИБ, которая по своей структуре имеет потенциал к развитию, прозрачность управления, гибкость к любым изменениям. Наряду с элементами управления для компьютеров и компьютерных сетей стандарт ISO 27001 уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, нормативным требованиям. Преимуществ внедрения в компанию СМИБ очень много. Вот некоторые из них.
Демонстрация компетентности безопасности. ISO 27001 представляет собой практическое руководство для организации, которое помогает сформулировать требования безопасности для обеспечения требуемого уровня защищенности и выполнения конкретных целей безопасности.
Обеспечение уверенности клиентов. ISO 27001 обеспечивает независимое доказательство того, что программы корпоративного управления поддерживаются лучшими, передовыми, международными практиками. Для многих серьёзно регулируемых отраслей, таких как финансы или интернет-услуги, выбор поставщика может быть ограничен теми организациями, которые уже сертифицированы по ISO 27001.
Более эффективное использование ресурсов. Благодаря использованию процессного подхода возможна оптимизация процессов, происходящих в компании. Что влечёт за собой уменьшение использования ресурсов, например, времени.
Постоянное улучшение. СМИБ использует PCDA модель, что позволяет регулярно проверять состояние всей системы, проводить анализ и совершенствовать систему управления.
Имидж, бренд. Сертификация на соответствие ISO 27001 открывает перед компанией широкие возможности: выход на международный уровень, новые партнерства, большее количество клиентов, новые контракты, успех в тендерах. Наличие СМИБ в компании - это показатель высокого уровня развития.
Гибкость СМИБ. Независимо от изменений процессов, новых технологий, основа структуры СМИБ остается действенной. СМИБ достаточно легко подстраивается под нововведения, путем модернизации существующих и внедрения новых контрмер.
Масштабируемость внедрение стандарта. Так как ISO 27001 предполагает определение области действия, это позволяет сертифицировать лишь часть процессов. Можно начать внедрять СМИБ в наиболее значимую для компании ОД, а уже позже расширять.
Аудит. Многие Российские компании воспринимают аудиторские работы как катастрофу. ISO 27001 показывает международный подход к проведению аудитов: прежде всего заинтересованность компании в том, чтобы действительно соответствовать стандартам, а не делать сертификацию кое-как лишь для галочки.
Регулярные внутренние или внешние аудиты позволяют исправлять нарушения, совершенствовать СМИБ, значительно снизить риски. В первую очередь, это нужно компании для собственного спокой-
ствия, что у них всё в порядке и риски убытков минимизированы. А уже второстепенно - сертификат соответствия, который подтверждает для партнеров или клиентов, что этой компании можно доверять.
Прозрачность управления. Использование стандарта ISO 27001 даёт достаточно чёткие инструкции по созданию управления, а так же требования к документации, которая должна быть в компании. Проблема многих компаний в том, что существующие документы для определенных отделов просто не читаются, ибо разобраться, что и кому предназначается зачастую невозможно из-за запутанности системы документации. Иерархичность уровней документации, от политики информационной безопасности до описания определенных процедур, делает использование существующих правил, регламентов и прочего, намного легче [12-14].
Заключение
В заключение следует отметить, что в современном бизнесе неотъемлемость базовой системы менеджмента качества, выстроенной в соответствии с требованиями стандарта ISO 9001, и завоевывающей позиции системы менеджмента информационной безопасности очевидна. Сегодня лидером рынка станут компании, которые отслеживают не только показатели качества продукции и услуг, но и уровни конфиденциальности, целостности и доступности информации о них. Также немаловажным фактором успеха является прогнозирование и оценка рисков, что требует грамотного подхода и использования лучших международных практик. Совместное внедрение и сертификация систем менеджмента качества и информационной безопасности поможет решить широкий спектр задач для любой отрасли промышленности или торговли, что в свою очередь приведет к качественному повышению уровня оказываемых услуг.
ЛИТЕРАТУРА
1. Новиков В.А., Зорин Ю.В., Александров С.Л. Еще раз о возможностях ГОСТ Р ИСО 9001 // Компетентность. 2010. № 4-5. С. 41-47.
2. Горячев В.В., Чайка И.И. ИСО 9001 - общественное достояние! ГОСТ Р ИСО 9001, СМК и качество продукции // Методы оценки соответствия. 2010. № 11. С. 8-11.
3. Минзов А.С., Кольер С.М. Обоснование управленческих решений в сфере обеспечения информационной безопасности // Системный анализ в науке и образовании. 2010. № 1. С. 48-53.
4. Сячина Т.Ю. Классификация методов менеджмента информационной безопасности // Актуальные вопросы экономических наук. 2013. № 29-2. С. 180-185.
5. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
6. Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции //
Вопросы кибербезопасности. 2014. № 1(2). С.67-73.
7. Марков А.С., Цирлов В.Л.. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. №8. С. 63-67.
8. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С.37-41.
9. Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С.28-35.
10. The ISO Survey. URL: http://iso.org/iso/ru/home/standards/certification/iso-survey.htm (Дата обращения: 01.04.2014).
11. Integrate ISO/IEC 27001 with ISO 9001. URL: http://standardsconsultants.com/900127001-integration (Дата обращения: 01.04.2014).
12. Голубинский Ю.М., Назарова И.Т., Бростилов С.А. Определение задач, решаемых системой менеджмента качества организации // Труды международного симпозиума Надежность и качество. 2010. Т.
1. С. 510-512.
13. Зефиров С.Л., Голованов В.Б. Система менеджмента информационной безопасности организации метрология в управленческих задачах информационной безопасности // Труды международного симпозиума Надежность и качество. 2008. Т. 2. С. 364-366.[
14. Суровицкая Г.В. Оценка пригодности системы менеджмента качества // Труды международного симпозиума Надежность и качество. 2008. Т. 1. С. 140-142.