11.09.2007

О западных стандартах и методиках

В последнее время все чаще и чаще слышим восторженные слова и дифирамбы в адрес ISO 27001, ISO 17799, ISO 15408 и т.д. Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.

Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» - нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.

А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…

Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.

Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.

Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.

9 коммент.:

Анонимный комментирует...

Здравствуйте, Алексей.
Во первых, как Вам известно, существует несколько стандартов в области информационной безопасности помимо ИСО. (Немецкий, американский, автралийский).
Каждая компания выбирает стандарт который наиболее ей подходит в силу тех или иных причин.
Работая в коммерческой компании, принадлежащей западным вкладчикам, меня больше волнует стратегия головной компании в обласи ИБ, чем стратегия РФ.
Возможно, что-то в России в области ИБ делается не так. А вы скажите, в какой области у нас нет проблем?
Уверен, что вы читали и ISO17799 и ISO2001. Надеюсь Вы согласитесь со мной, что стандарты дают большую свободу для маневра. А вот куда и как маневрировать, зависит от конкретной страны, компании, исполнителя.

Ригель комментирует...

Как ни парадоксально, проблема, наверно, в том, что западных изысканий и методик в Россию просачивается слишком мало.
Поэтому то, что попадает, становится догмой и руководством к немедленному действию, а не еще одной теорией, которую, возможно, стоит попробовать выборочно применить кое-где.
Плюс рефлекторная реакция нашего человека на слово "стандарт", некогда эквивалентное наказу партии и правительства - не осмысливать, а немедленно бежать расшибать лоб, даже если это полный разворот на 180 по сравнению с предыдущим наказом.
Вот когда количество альтернативных верований перевалит за десяток, можно ожидать некоторую работу разума.

Хотя факт отказа от изобретения велосипедов и понимания, что ты не первый такой, в определенной мере отраден.

А с best practice засада понятна (но почему-то не всем) - это не оптимум, а рекорд.

Алексей Лукацкий комментирует...

Анонимному:

Я не спорю, что есть разные стандарты. И конечно каждый сам решает, что использовать... ели это не выходит на уровень стандарта, который затем может навязываться, как это было с РД. И тут уже не так важно госструктура или частная компания с западным капиталом ;-(

Алексей Лукацкий комментирует...

Ригелю:

Согласен. Мы почти всегда сходимся во мнении ;-)

I audit комментирует...
Этот комментарий был удален автором.
I audit комментирует...

Есть еще одно замечательное словосочетание применяемое зарубежом - это "common sense". Если все best practices применять, используя common sense, то все у нас получится.

iaudit.blogspot.com

Ригель комментирует...

Алексей!

Что-то у меня начало закладываться опасение, что анонсированный Вами заряд критических публикаций в адрес xx7799/27ххх может оказаться для российского иб-сообщества медвежьей услугой.
Человек, у которого отложится, что далеко не все применимо в российских реалиях, станет отбрасывать как n/а любые тезисы, которые покажутся странными, вместо того, чтобы искать в них зерно и возможность его реализации.
В итоге, не лишенный много чего полезного стандарт будет использоваться еще более механически, чем сейчас: то, что легко переносится - в жизнь, чуть что непонятно - в ж... (другую жизнь), ибо тут вам не там.

В-общем есть у меня предположение, что проблемы стандарта каждый должен находить сам и тогда, когда он созрел, чтобы найти.
Верить, что дед Мороз настоящий, а баба Яга существует - совершенно необходимый этап, хоть актеры и книгоиздатели на этом и наживаются

Vair комментирует...

Был ли принят ISO 27001 в качестве ГОСТ? Вроде бы нет... Как Вы думаете, не значит ли это, что существуют инициативы по созданию собственного стандарта по СМИБ?

Алексей Лукацкий комментирует...

Ригелю:

Ну не заряд, а всего лишь одна статья. Да и то непонятно, когда ее опубликуют. Хоть и Интернет-издание ее взяло, но со сроками публикации у них швах.

vair:

Принят.