08.04.2009

Малому бизнесу компенсируют затраты на сертификацию по ISO 27001

Иногда смотришь на наше законодательство и диву даешься - вроде бы и правильные вещи написаны... по сути, а на деле - чушь и полный бред. Возьмем к примеру Приказ того еще Минэкономразвития от 5 марта 2007 года №75 "О мерах по реализации в 2007 году мероприятий по государственной поддержке малого предпринимательства". Он конечно старый, но действует.

В приложении 5 этого приказа прописаны общие требования к бизнес-инкубатору и порядку предоставления помещений и оказанию услуг субъектам малого предпринимательства в бизнес-инкубаторе. В нем есть перечень затрат субъекта малого предпринимательства, связанных с оплатой услуг по выполнению обязательных требований законодательства Российской Федерации и (или) законодательства страны-импортера, являющихся необходимыми для экспорта товаров (работ, услуг), для выполнения которых предоставляется субсидия. И вот в этот перечень каким-то образом затесался ISO 27001, затраты на сертификацию по которому готово возмещать государство в размере 50%, но не более 250000 рублей.

Каким образом ISO 27001 попал в разряд обязательных? Зачем фермерскому хозяйству (а именно оно приведено как пример предприятия малого предпринимательства) сертификация по ISO 27001? У меня нет ответов. Но знание экспертами бывшего МЭРТа этого стандарта радует (правда непонимание его области применения - огорчает).

ЗЫ. Кстати, согласно этому приказу на субсидию можно рассчитывать и в случае иных стандартов и форм обязательной сертификации. Т.е. затраты на выполнения требований ФСТЭК или ФСБ по линии персданных можно попробовать компенсировать. Правда 250000 рублей по нынешним меркам - это копейки ;-(

28 коммент.:

Ригель комментирует...

Извини, но это опять я.

Чем тебе фермерское хозяйство-то не угодило? Как переживший несколько ИСОшных аудитов (две предсертификации, одна сертификация, одна ресертификация и три или четыре подтверждающих), не вижу существенного препятствия получить 27001 на фермерское хозяйство, кроме запаха (это из-за аллергии, а не то что ты подумал).

У тебя на какой счет сомнения - связь с бизнесом? Тайны работников, партнеров и немножко своей коммерческой. Можешь смеяться или не смеяться, но если станет известно хотя бы как я солярку достаю, тут мне и капец сразу. Думаешь, если мышка маленькая, то у нее и смерть ненастоящая? Ну-ну.

Потребность в сертификации? Получение маркетингового преимущества (известность) - фермеров много, а таких сертификатов по пальцам одной руки.

Мало применимых контролов? У меня такой SoA в результате RA, найди ошибку - поправлю.

Quiet Zone комментирует...

А я согласен с Алексеем - на фиг фермерскому хозяйству такая сертификация? Я не спорю, что получить можно, но зачем? Известность фермерскому хозяйству ИМХО не особо нужна - его продукцию не развезешь по всему миру, это не телевизоры и не автомобили. Может быть когда нибудь ситуация и изменится, и ИБ станет обязательным требованием и неотъемлемой частью всех видов человеческой деятельности, но сейчас я не могу себе представить фермера, продающего пшеницы больше, потому что у него есть сертификат на СМИБ. Я скорее приму, что домашней хозяйке и няне нужно Соглашение о неразглашении подписывать, чем необходимость в ISO 27001 в коровнике. Лучше бы эти деньги дополнительно в защиту среды вложить, а то через Томилино ездить невозможно:)

Алексей Лукацкий комментирует...

Как правильно заметил Михаил в презентации на РусКрипто, best practices (а 27001 как раз из их разряда) - это как мировой рекорд; приблизиться к нему по силам не только не для всех, а для очень немногих. И стоит ли тогда рвать одно место для этого?

Никто не спорит, что "технически" и ИЧП можно по 27001 выстроить и сертифицировать. Но вот нужно ли? И будет ли ИЧП после этого эффективно работать?

Ригель комментирует...

Зачем или незачем - не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь. Тут ключевое слово - "бизнес", а не "малый". "Малый" играет роль для получения господдержки, а не строить ли ему СМ*/СМ**. И там, между прочим, не только 27001 и не только фермеры, просто Леша такую крайность выбрал. Подставь-ка вместо 27001 22000 или вместо фермера юрфирму.

Алексей Лукацкий комментирует...

Я про другие стандарты не говорю. Там в списке есть и нужные. По той же пищевой безопасности. Я говорю только про 27001.

Малый бизнес не случайно назван малым, хоть и бизнесом. Не сможет он городить всю эту бодягу с реагированием на инциденты, выстраиванием службы ИБ, которой у него и нет, и т.п. Не сможет. Хоть ты фермер, хоть юридическая контора.

Это как COBIT на малом предприятии внедрять ;-)

Александр Дорофеев комментирует...
Этот комментарий был удален автором.
VSB комментирует...

Сергей Романовский на курсах 27001 в АИСе рассказывал про семейную кажется сыродельню, получившую этот сертификат. В Швейцарии что-ли.

Александр Дорофеев комментирует...

To: Ригель

Поделитесь, пожалуйста, опытом. Что дала вашей организации сертификация по ISO 27001? Насколько наличие такого сертификата важно для Ваших клиентов?

Спасибо!

Алексей Лукацкий комментирует...

Как говорил Михаил на РусКрипто ;-) консультантов приглашают ради двух вещей - для внешней аудитории (акционеры, инвесторы и т.п.) и для выстраивания внутренней работы. В процессе обсуждения в другой заметке мы еще вышли на третью цель - "прачечная".

А теперь транслируем это на малый бизнес. Есть ли у них внешняя аудитория, которой нужен и ПОНЯТЕН сертификат на 27001? Не уверен. Если такие исключения и есть, то они скорее подтверждают правило. Для внутренней работы. Безусловно, использовать некоторые практики из стандарта полезно, но не все. На выстраивание процессов по 27001 уйдет слишком много денег, которых к SMB и так не хватает на развитие. Отмыв денег? Практически не смешно ;-)

Вот и получается, что для большинства малых предприятий эта сертификация, как собаке пятая нога. Ничего не дает, кроме нехилых затрат и мифической выгоды от того, что ты "первая сыроварня, получившая сертификат ISO 27001" ;-)

Все это конечно, имхо. Из всех писавших, только у Ригеля компания прошла сертификацию по ISO 27001. Правда ее не отнесешь к малому бизнесу ;-)

Ригель комментирует...

Для Алексея:
Берем более массовый случай - чтобы получить социальный налоговый вычет за обучение ребенка немецкому языку, не нужно документально подтверждать, что знание немецкого ему круто помогло или гарантированно поможет. Это ж какое расточение госбюджета! Тиграм не докладывают мяса, и все такое прочее.

Для Александра:
Мой CEO считает, что это позволяет удерживать главного клиента и брать с него N - ему виднее.

Quiet Zone комментирует...

>Зачем или незачем - не твоя забота, это его, этого малого бизнеса право международный сертификат поиметь/

Стоп, с твоей легкой руки у нас произошла подмена понятий. Речь не о праве (если фермеру приспичит повесить сертификат на стену коровника - ради бога, может от сознательности коров удои вырастут, только читать научить), а об обязанности. Изначально говорили о том, что сертификация по 27001 попала в разряд обязательных, и обсуждали целесообразность именно этого навязывания. Попыток подменить цели малого бизнеса своим видением этих целей замечено не было:)

Леш, насчет сравнения 27001 с мировым рекордом поспорю. Для завоевания мирового рекорда нужно БЫТЬ, а для получения 27001 вполне достаточно КАЗАТЬСЯ. Есть по крайней мере один реальный пример чистой профанации, однако с выдачей сертификата.

Александр Дорофеев комментирует...

Для малого или среднего бизнеса не обязательно внедрять весь стандарт. Прав Ригель говоря о том, что все дело в оценке рисков и выборе контрмер из ISO 27001. На тренинге по подготовке аудиторов по ISO 27001 я слышал о случае, когда компания была сертифицирована, а в ее SOA (положение о применимости контролей) было всего около 30 мер по минимизации рисков. Другой вопрос - нужен ли малому и среднему бизнесу красивый сертификат.

swan комментирует...

Читаем внимательно...

ПЕРЕЧЕНЬ
ЗАТРАТ СУБЪЕКТА МАЛОГО ПРЕДПРИНИМАТЕЛЬСТВА,
СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),
ДЛЯ ВЫПОЛНЕНИЯ КОТОРЫХ ПРЕДОСТАВЛЯЕТСЯ СУБСИДИЯ

(в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)

Субсидии субъектам малого предпринимательства предоставляются
из бюджета субъекта Российской Федерации после предоставления
субъектом малого предпринимательства уполномоченному органу
исполнительной власти субъекта Российской Федерации документов,
перечисленных в пункте 21 Постановления Правительства Российской
Федерации от 22 апреля 2005 г. N 249 "Об условиях и порядке
предоставления в 2005 году средств федерального бюджета,
предусмотренных на государственную поддержку малого
предпринимательства, включая крестьянские (фермерские) хозяйства"
(далее - Постановление), и заверенной копии сертификата,
свидетельства или иного документа, подтверждающего факт выполнения
обязательных требований законодательства Российской Федерации и
(или) законодательства страны-импортера.
2. Выполнения требований по:
- стандарту ISO 9001 (обеспечение качества);
- стандарту ГОСТ Р ИСО 9001 (обеспечение качества);
- стандарту ISO 14001 (охрана окружающей среды);
- стандарту ГОСТ Р ИСО 14001 (охрана окружающей среды);
- стандарту OHSAS 18001 (охрана труда и промышленная
безопасность);
- стандарту ГОСТ Р 12.0.006-2002 (охрана труда и промышленная
безопасность);
- стандарту серии SA 8000 (социальная ответственность и
управление персоналом);
- стандарту ISO/IEC 27001 (информационная безопасность);
- стандартам серии GMP (Good Manufacturing Practice);
- системам управления пищевой безопасности НАССР (Hazard
Analysis and Critical Control Point);
- стандарту ISO 22000 (система менеджмента безопасности
пищевых продуктов);
- стандарту ISO/TS 16949:2002 (обеспечение качества в
автомобилестроении);
- стандарту ИСО/ТУ 16949 (обеспечение качества в
автомобилестроении);
- стандарту TL 9000 (обеспечение качества в
телекоммуникационной отрасли);
- стандарту ISO/TS 29001 (обеспечение качества в нефтяной,
нефтехимической и газовой отрасли промышленности);
- стандарту ISO 13485 (обеспечение качества продукции
медицинского назначения);
- стандарту ГОСТ Р ИСО 13485 (обеспечение качества продукции
медицинского назначения);
- стандарту AS/En 9100:2001 (управление качеством на
предприятиях авиакосмической отрасли);
- обязательной маркировке СЕ;
- формам "А", "СТ-1";
- иным стандартам и формам обязательной сертификации
(исполнительные органы субъектов Российской Федерации имеют право
расширять перечень стандартов по согласованию с Минэкономразвития
России).
3. Максимальный размер субсидии составляет 50% документально
подтвержденных затрат, но не более 250000 руб., на покрытие
расходов, связанных с получением одного сертификата, и не более
600000 руб. на один субъект малого предпринимательства.
(в ред. Приказа Минэкономразвития РФ от 24.09.2007 N 329)

swan комментирует...

А почему он действует ?!

Алексей Лукацкий комментирует...

Ригелю: А вычет за обучение дают после получения сертификата или после факта оплаты?

Например, по квартире вычет дают после ее оплаты. А въехал ты туда или нет, используешь ее или нет, есть у тебя страховка или нет, никого не волнует.

Есть подозрение, что и по обучению тебе компенсируют только часть затрат на обучение. А вот закончил ты его или нет, сдал экзамен или нет, налоговую не волнует.

Алексей Лукацкий комментирует...

swan'у: Да дело не в том, почему он действует или не действует (я его отмененным не видел). Просто вообще интересная постановка вопроса. 27001 назвали обязательным и посчитали, что малому бизнесу он нужен. Вот и все собственно ;-)

ЗЫ. Никто никогда не пытался вернуть денег по нему ;-)

swan комментирует...

Алексей.
По поводу действия логика (моя) подсказывает что Приказ ограничен действием на 2007 год...

С точки зрения обязательности "СВЯЗАННЫХ С ОПЛАТОЙ УСЛУГ ПО ВЫПОЛНЕНИЮ ОБЯЗАТЕЛЬНЫХ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
И (ИЛИ) ЗАКОНОДАТЕЛЬСТВА СТРАНЫ-ИМПОРТЕРА, ЯВЛЯЮЩИХСЯ
НЕОБХОДИМЫМИ ДЛЯ ЭКСПОРТА ТОВАРОВ (РАБОТ, УСЛУГ),"

По сути будет субсидия в случае:
1. МП докажет обязательность необходимости сертификации
2. Докажет необходимость из этого конкретного перечня
3. Из других перечней, в случае его согласования .. бла бла бла...

По сути Приказ и приложение 6 НЕ ОБЯЗЫВАЮТ сертифицировать а говорят только о том, что в случае доказанной необходимости/обязательности такой сертификации будет помощь для МП. и все...

По поводу свинофермы )))
- если МП импортирует свинятину а принимающая страна требует от поставщика ISO 27xxx то ради бога... Готов на каждой хрюшке поставить штамп !!!

Видимо в Брюсселе есть кафе "Хакер vs ИБшник" и в меню есть "Троянская Котлета" от сертифицированной Хрюши...

Quiet Zone комментирует...

> Другой вопрос - нужен ли малому и среднему бизнесу красивый сертификат.

Так не другой, а именно этот вопрос мы и обсуждаем. Речь идет не о том, что не нужна безопасность, а о том, что нет смысла в обязательной сертификации - только об этом и идет речь. Добровольно захочет внедрить контроли из 27001 - ради бога, пусть и RA делает, и аудиты проводит, и аварнес среди доярок и механизаторов, BCM занимается.. Но сертификация-то зачем? А из оригинального текста явно следует, что выполнение обязательных требований должно подтверждаться сертификатом, т.е. сертификации не избежать.

Алексей Лукацкий комментирует...

Да я и не спорю ;-) Просто не вижу в этом никакого смысла и все ;-) О чем и написал в самом начале заметки

Maria Sidorova комментирует...

Приказ действительно ограничен 2007годом.
Смысла в ОБЯЗАТЕЛЬНОЙ сертификации для всякого малого бизнеса я тоже не вижу, можно было распростаринить для отдельных категорий, тогда имело бы смысл это.

swan комментирует...

Мария !!!
Так Приказ и не настаивает на сертификации он только говорит о том, что в случае необходимости будут субсидии...

Алексей Лукацкий комментирует...

Не в ту мы степь пошли ;-) Ну да ладно

swan комментирует...

В ту В ту сторону... старый ты провокатор ))))

Ригель комментирует...

Для Quiet Zone:

> в разряд обязательных

Кто-то из двоих слепой. Предлагаю найти малого бизнесмена и спросить, заставили ли его. Судя, однако, по реестру сертификатов...

> пример чистой профанации

Этическую сторону обсуждать не стану, но с профессиональной-то ты мог бы и понимать, что критерием соответствия/несоответствия является только заключение регистратора, остальному цена ноль.
Если суд сказал "уволили законно" - значит, уволили законно, а особые мнения обиженные могут затолкать.

Maria Sidorova комментирует...

Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!

Ригель комментирует...

И для Алексея Лукацкого:

> не вижу в этом никакого смысла

Ах, вот оно что: ты про "смысл строительства моста через реку с точки зрения щуки"?

У _государства_ есть какие-то причины стимулировать получение международных сертификатов российскими предпринимателями. Цена вопроса настолько смешная, что причины эти явно политические.

swan комментирует...

Для Марии...
Swan, а вы знаете такой малый бизнес который сам откажется от дополнительных субсидий?!!

В таких условиях любой бизнес захочет стать Малым. :))

Алексей Лукацкий комментирует...

Не захочет ;-) Компенсируют 250000 рублей, а сертификация обойдется куда как дороже.

Они бы лучше компенсировали затраты на соответствие ФЗ-152.