О западных стандартах и методиках

В последнее время все чаще и чаще слышим восторженные слова и дифирамбы в адрес ISO 27001, ISO 17799, ISO 15408 и т.д. Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.

Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» — нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.

А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…

Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.

Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.

Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Здравствуйте, Алексей.
    Во первых, как Вам известно, существует несколько стандартов в области информационной безопасности помимо ИСО. (Немецкий, американский, автралийский).
    Каждая компания выбирает стандарт который наиболее ей подходит в силу тех или иных причин.
    Работая в коммерческой компании, принадлежащей западным вкладчикам, меня больше волнует стратегия головной компании в обласи ИБ, чем стратегия РФ.
    Возможно, что-то в России в области ИБ делается не так. А вы скажите, в какой области у нас нет проблем?
    Уверен, что вы читали и ISO17799 и ISO2001. Надеюсь Вы согласитесь со мной, что стандарты дают большую свободу для маневра. А вот куда и как маневрировать, зависит от конкретной страны, компании, исполнителя.

    Ответить
  2. Анонимный

    Как ни парадоксально, проблема, наверно, в том, что западных изысканий и методик в Россию просачивается слишком мало.
    Поэтому то, что попадает, становится догмой и руководством к немедленному действию, а не еще одной теорией, которую, возможно, стоит попробовать выборочно применить кое-где.
    Плюс рефлекторная реакция нашего человека на слово «стандарт», некогда эквивалентное наказу партии и правительства — не осмысливать, а немедленно бежать расшибать лоб, даже если это полный разворот на 180 по сравнению с предыдущим наказом.
    Вот когда количество альтернативных верований перевалит за десяток, можно ожидать некоторую работу разума.

    Хотя факт отказа от изобретения велосипедов и понимания, что ты не первый такой, в определенной мере отраден.

    А с best practice засада понятна (но почему-то не всем) — это не оптимум, а рекорд.

    Ответить
  3. Алексей Лукацкий

    Анонимному:

    Я не спорю, что есть разные стандарты. И конечно каждый сам решает, что использовать… ели это не выходит на уровень стандарта, который затем может навязываться, как это было с РД. И тут уже не так важно госструктура или частная компания с западным капиталом ;-(

    Ответить
  4. Алексей Лукацкий

    Ригелю:

    Согласен. Мы почти всегда сходимся во мнении 😉

    Ответить
  5. TJ

    Этот комментарий был удален автором.

    Ответить
  6. TJ

    Есть еще одно замечательное словосочетание применяемое зарубежом — это «common sense». Если все best practices применять, используя common sense, то все у нас получится.

    iaudit.blogspot.com

    Ответить
  7. Ригель

    Алексей!

    Что-то у меня начало закладываться опасение, что анонсированный Вами заряд критических публикаций в адрес xx7799/27ххх может оказаться для российского иб-сообщества медвежьей услугой.
    Человек, у которого отложится, что далеко не все применимо в российских реалиях, станет отбрасывать как n/а любые тезисы, которые покажутся странными, вместо того, чтобы искать в них зерно и возможность его реализации.
    В итоге, не лишенный много чего полезного стандарт будет использоваться еще более механически, чем сейчас: то, что легко переносится — в жизнь, чуть что непонятно — в ж… (другую жизнь), ибо тут вам не там.

    В-общем есть у меня предположение, что проблемы стандарта каждый должен находить сам и тогда, когда он созрел, чтобы найти.
    Верить, что дед Мороз настоящий, а баба Яга существует — совершенно необходимый этап, хоть актеры и книгоиздатели на этом и наживаются

    Ответить
  8. Анонимный

    Был ли принят ISO 27001 в качестве ГОСТ? Вроде бы нет… Как Вы думаете, не значит ли это, что существуют инициативы по созданию собственного стандарта по СМИБ?

    Ответить
  9. Алексей Лукацкий

    Ригелю:

    Ну не заряд, а всего лишь одна статья. Да и то непонятно, когда ее опубликуют. Хоть и Интернет-издание ее взяло, но со сроками публикации у них швах.

    vair:

    Принят.

    Ответить