Иногда смотришь на наше законодательство и диву даешься — вроде бы и правильные вещи написаны… по сути, а на деле — чушь и полный бред. Возьмем к примеру Приказ того еще Минэкономразвития от 5 марта 2007 года №75 «О мерах по реализации в 2007 году мероприятий по государственной поддержке малого предпринимательства». Он конечно старый, но действует.
В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень затрат субъекта малого предпринимательства, связанных с оплатой услуг по выполнению обязательных требований законодательства Российской Федерации и (или) законодательства страны-импортера, являющихся необходимыми для экспорта товаров (работ, услуг), для выполнения которых предоставляется субсидия. И вот в этот перечень каким-то образом затесался ISO 27001, затраты на сертификацию по которому готово возмещать государство в размере 50%, но не более 250000 рублей.
Каким образом ISO 27001 попал в разряд обязательных? Зачем фермерскому хозяйству (а именно оно приведено как пример предприятия малого предпринимательства) сертификация по ISO 27001? У меня нет ответов. Но знание экспертами бывшего МЭРТа этого стандарта радует (правда непонимание его области применения — огорчает).
ЗЫ. Кстати, согласно этому приказу на субсидию можно рассчитывать и в случае иных стандартов и форм обязательной сертификации. Т.е. затраты на выполнения требований ФСТЭК или ФСБ по линии персданных можно попробовать компенсировать. Правда 250000 рублей по нынешним меркам — это копейки ;-(
Извини, но это опять я.
Чем тебе фермерское хозяйство-то не угодило? Как переживший несколько ИСОшных аудитов (две предсертификации, одна сертификация, одна ресертификация и три или четыре подтверждающих), не вижу существенного препятствия получить 27001 на фермерское хозяйство, кроме запаха (это из-за аллергии, а не то что ты подумал).
У тебя на какой счет сомнения — связь с бизнесом? Тайны работников, партнеров и немножко своей коммерческой. Можешь смеяться или не смеяться, но если станет известно хотя бы как я солярку достаю, тут мне и капец сразу. Думаешь, если мышка маленькая, то у нее и смерть ненастоящая? Ну-ну.
Потребность в сертификации? Получение маркетингового преимущества (известность) — фермеров много, а таких сертификатов по пальцам одной руки.
Мало применимых контролов? У меня такой SoA в результате RA, найди ошибку — поправлю.
А я согласен с Алексеем — на фиг фермерскому хозяйству такая сертификация? Я не спорю, что получить можно, но зачем? Известность фермерскому хозяйству ИМХО не особо нужна — его продукцию не развезешь по всему миру, это не телевизоры и не автомобили. Может быть когда нибудь ситуация и изменится, и ИБ станет обязательным требованием и неотъемлемой частью всех видов человеческой деятельности, но сейчас я не могу себе представить фермера, продающего пшеницы больше, потому что у него есть сертификат на СМИБ. Я скорее приму, что домашней хозяйке и няне нужно Соглашение о неразглашении подписывать, чем необходимость в ISO 27001 в коровнике. Лучше бы эти деньги дополнительно в защиту среды вложить, а то через Томилино ездить невозможно:)
Как правильно заметил Михаил в презентации на РусКрипто, best practices (а 27001 как раз из их разряда) — это как мировой рекорд; приблизиться к нему по силам не только не для всех, а для очень немногих. И стоит ли тогда рвать одно место для этого?
Никто не спорит, что «технически» и ИЧП можно по 27001 выстроить и сертифицировать. Но вот нужно ли? И будет ли ИЧП после этого эффективно работать?
Зачем или незачем — не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь. Тут ключевое слово — «бизнес», а не «малый». «Малый» играет роль для получения господдержки, а не строить ли ему СМ*/СМ**. И там, между прочим, не только 27001 и не только фермеры, просто Леша такую крайность выбрал. Подставь-ка вместо 27001 22000 или вместо фермера юрфирму.
Я про другие стандарты не говорю. Там в списке есть и нужные. По той же пищевой безопасности. Я говорю только про 27001.
Малый бизнес не случайно назван малым, хоть и бизнесом. Не сможет он городить всю эту бодягу с реагированием на инциденты, выстраиванием службы ИБ, которой у него и нет, и т.п. Не сможет. Хоть ты фермер, хоть юридическая контора.
Это как COBIT на малом предприятии внедрять 😉
Этот комментарий был удален автором.
Сергей Романовский на курсах 27001 в АИСе рассказывал про семейную кажется сыродельню, получившую этот сертификат. В Швейцарии что-ли.
To: Ригель
Поделитесь, пожалуйста, опытом. Что дала вашей организации сертификация по ISO 27001? Насколько наличие такого сертификата важно для Ваших клиентов?
Спасибо!
Как говорил Михаил на РусКрипто 😉 консультантов приглашают ради двух вещей — для внешней аудитории (акционеры, инвесторы и т.п.) и для выстраивания внутренней работы. В процессе обсуждения в другой заметке мы еще вышли на третью цель — «прачечная».
А теперь транслируем это на малый бизнес. Есть ли у них внешняя аудитория, которой нужен и ПОНЯТЕН сертификат на 27001? Не уверен. Если такие исключения и есть, то они скорее подтверждают правило. Для внутренней работы. Безусловно, использовать некоторые практики из стандарта полезно, но не все. На выстраивание процессов по 27001 уйдет слишком много денег, которых к SMB и так не хватает на развитие. Отмыв денег? Практически не смешно 😉
Вот и получается, что для большинства малых предприятий эта сертификация, как собаке пятая нога. Ничего не дает, кроме нехилых затрат и мифической выгоды от того, что ты «первая сыроварня, получившая сертификат ISO 27001» 😉
Все это конечно, имхо. Из всех писавших, только у Ригеля компания прошла сертификацию по ISO 27001. Правда ее не отнесешь к малому бизнесу 😉
Для Алексея:
Берем более массовый случай — чтобы получить социальный налоговый вычет за обучение ребенка немецкому языку, не нужно документально подтверждать, что знание немецкого ему круто помогло или гарантированно поможет. Это ж какое расточение госбюджета! Тиграм не докладывают мяса, и все такое прочее.
Для Александра:
Мой CEO считает, что это позволяет удерживать главного клиента и брать с него N — ему виднее.
>Зачем или незачем — не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь/
Стоп, с твоей легкой руки у нас произошла подмена понятий. Речь не о праве (если фермеру приспичит повесить сертификат на стену коровника — ради бога, может от сознательности коров удои вырастут, только читать научить), а об обязанности. Изначально говорили о том, что сертификация по 27001 попала в разряд обязательных, и обсуждали целесообразность именно этого навязывания. Попыток подменить цели малого бизнеса своим видением этих целей замечено не было:)
Леш, насчет сравнения 27001 с мировым рекордом поспорю. Для завоевания мирового рекорда нужно БЫТЬ, а для получения 27001 вполне достаточно КАЗАТЬСЯ. Есть по крайней мере один реальный пример чистой профанации, однако с выдачей сертификата.
Для малого или среднего бизнеса не обязательно внедрять весь стандарт. Прав Ригель говоря о том, что все дело в оценке рисков и выборе контрмер из ISO 27001. На тренинге по подготовке аудиторов по ISO 27001 я слышал о случае, когда компания была сертифицирована, а в ее SOA (положение о применимости контролей) было всего около 30 мер по минимизации рисков. Другой вопрос — нужен ли малому и среднему бизнесу красивый сертификат.
Читаем внимательно…
ПЕРЕЧЕНЬ
ЗАТРАТ СУБЪЕКТА МАЛОГО ПРЕДПРИНИМАТЕЛЬСТВА,
СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),
ДЛЯ ВЫПОЛНЕНИЯ КОТОРЫХ ПРЕДОСТАВЛЯЕТСЯ СУБСИДИЯ
(в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)
Субсидии субъектам малого предпринимательства предоставляются
из бюджета субъекта Российской Федерации после предоставления
субъектом малого предпринимательства уполномоченному органу
исполнительной власти субъекта Российской Федерации документов,
перечисленных в пункте 21 Постановления Правительства Российской
Федерации от 22 апреля 2005 г. N 249 «Об условиях и порядке
предоставления в 2005 году средств федерального бюджета,
предусмотренных на государственную поддержку малого
предпринимательства, включая крестьянские (фермерские) хозяйства»
(далее — Постановление), и заверенной копии сертификата,
свидетельства или иного документа, подтверждающего факт выполнения
обязательных требований законодательства Российской Федерации и
(или) законодательства страны-импортера.
2. Выполнения требований по:
— стандарту ISO 9001 (обеспечение качества);
— стандарту ГОСТ Р ИСО 9001 (обеспечение качества);
— стандарту ISO 14001 (охрана окружающей среды);
— стандарту ГОСТ Р ИСО 14001 (охрана окружающей среды);
— стандарту OHSAS 18001 (охрана труда и промышленная
безопасность);
— стандарту ГОСТ Р 12.0.006-2002 (охрана труда и промышленная
безопасность);
— стандарту серии SA 8000 (социальная ответственность и
управление персоналом);
— стандарту ISO/IEC 27001 (информационная безопасность);
— стандартам серии GMP (Good Manufacturing Practice);
— системам управления пищевой безопасности НАССР (Hazard
Analysis and Critical Control Point);
— стандарту ISO 22000 (система менеджмента безопасности
пищевых продуктов);
— стандарту ISO/TS 16949:2002 (обеспечение качества в
автомобилестроении);
— стандарту ИСО/ТУ 16949 (обеспечение качества в
автомобилестроении);
— стандарту TL 9000 (обеспечение качества в
телекоммуникационной отрасли);
— стандарту ISO/TS 29001 (обеспечение качества в нефтяной,
нефтехимической и газовой отрасли промышленности);
— стандарту ISO 13485 (обеспечение качества продукции
медицинского назначения);
— стандарту ГОСТ Р ИСО 13485 (обеспечение качества продукции
медицинского назначения);
— стандарту AS/En 9100:2001 (управление качеством на
предприятиях авиакосмической отрасли);
— обязательной маркировке СЕ;
— формам «А», «СТ-1»;
— иным стандартам и формам обязательной сертификации
(исполнительные органы субъектов Российской Федерации имеют право
расширять перечень стандартов по согласованию с Минэкономразвития
России).
3. Максимальный размер субсидии составляет 50% документально
подтвержденных затрат, но не более 250000 руб., на покрытие
расходов, связанных с получением одного сертификата, и не более
600000 руб. на один субъект малого предпринимательства.
(в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)
А почему он действует ?!
Ригелю: А вычет за обучение дают после получения сертификата или после факта оплаты?
Например, по квартире вычет дают после ее оплаты. А въехал ты туда или нет, используешь ее или нет, есть у тебя страховка или нет, никого не волнует.
Есть подозрение, что и по обучению тебе компенсируют только часть затрат на обучение. А вот закончил ты его или нет, сдал экзамен или нет, налоговую не волнует.
swan’у: Да дело не в том, почему он действует или не действует (я его отмененным не видел). Просто вообще интересная постановка вопроса. 27001 назвали обязательным и посчитали, что малому бизнесу он нужен. Вот и все собственно 😉
ЗЫ. Никто никогда не пытался вернуть денег по нему 😉
Алексей.
По поводу действия логика (моя) подсказывает что Приказ ограничен действием на 2007 год…
С точки зрения обязательности «СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),»
По сути будет субсидия в случае:
1. МП докажет обязательность необходимости сертификации
2. Докажет необходимость из этого конкретного перечня
3. Из других перечней, в случае его согласования .. бла бла бла…
По сути Приказ и приложение 6 НЕ ОБЯЗЫВАЮТ сертифицировать а говорят только о том, что в случае доказанной необходимости/обязательности такой сертификации будет помощь для МП. и все…
По поводу свинофермы )))
— если МП импортирует свинятину а принимающая страна требует от поставщика ISO 27xxx то ради бога… Готов на каждой хрюшке поставить штамп !!!
Видимо в Брюсселе есть кафе «Хакер vs ИБшник» и в меню есть «Троянская Котлета» от сертифицированной Хрюши…
> Другой вопрос — нужен ли малому и среднему бизнесу красивый сертификат.
Так не другой, а именно этот вопрос мы и обсуждаем. Речь идет не о том, что не нужна безопасность, а о том, что нет смысла в обязательной сертификации — только об этом и идет речь. Добровольно захочет внедрить контроли из 27001 — ради бога, пусть и RA делает, и аудиты проводит, и аварнес среди доярок и механизаторов, BCM занимается.. Но сертификация-то зачем? А из оригинального текста явно следует, что выполнение обязательных требований должно подтверждаться сертификатом, т.е. сертификации не избежать.
Да я и не спорю 😉 Просто не вижу в этом никакого смысла и все 😉 О чем и написал в самом начале заметки
Приказ действительно ограничен 2007годом.
Смысла в ОБЯЗАТЕЛЬНОЙ сертификации для всякого малого бизнеса я тоже не вижу, можно было распростаринить для отдельных категорий, тогда имело бы смысл это.
Мария !!!
Так Приказ и не настаивает на сертификации он только говорит о том, что в случае необходимости будут субсидии…
Не в ту мы степь пошли 😉 Ну да ладно
В ту В ту сторону… старый ты провокатор ))))
Для Quiet Zone:
> в разряд обязательных
Кто-то из двоих слепой. Предлагаю найти малого бизнесмена и спросить, заставили ли его. Судя, однако, по реестру сертификатов…
> пример чистой профанации
Этическую сторону обсуждать не стану, но с профессиональной-то ты мог бы и понимать, что критерием соответствия/несоответствия является только заключение регистратора, остальному цена ноль.
Если суд сказал "уволили законно" — значит, уволили законно, а особые мнения обиженные могут затолкать.
Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!
И для Алексея Лукацкого:
> не вижу в этом никакого смысла
Ах, вот оно что: ты про "смысл строительства моста через реку с точки зрения щуки"?
У _государства_ есть какие-то причины стимулировать получение международных сертификатов российскими предпринимателями. Цена вопроса настолько смешная, что причины эти явно политические.
Для Марии…
Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!
В таких условиях любой бизнес захочет стать Малым. :))
Не захочет 😉 Компенсируют 250000 рублей, а сертификация обойдется куда как дороже.
Они бы лучше компенсировали затраты на соответствие ФЗ-152.