10.5.16

Сказ о том, почему цикл PDCA плохо работает в ИБ

В области информационной безопасности, как и во многих других, существует две большие проблемы - фактор времени и нежелание критически рассуждать о якобы аксиомах или догмах безопасности, которые с течением времени претерпевают изменения, в том числе и очень серьезные. Одна из священных коров - ISO 27001, а точнее цикл PDCA, на идеологии которого ISO 27001 и был выстроен.


PDCA является аббревиатурой цикла Plan-Do-Check-Act (Планируй-Делай-Проверяй-Улучшай) и впервые эта концепция была озвучена Шухартом и Демингом в рамках идеи повышения качества на производстве в Японии. Потом на ее базе стали выстраивать процессы и в других областях, в том числе и информационной безопасности, разумно полагая, что если этот цикл позволяет улучшить качество производства, то почему бы с его помощью не улучшить качество управления ИБ. Однако, если отбросить в сторону постоянно ведущиеся споры на тему “Зачем мне ISO 27001?”, то гораздо более интересен вопрос самой применимости цикла PDCA в области современной ИБ (обратите внимание на ключевое слово “современной”).

Какие отличительные особенности ИБ можно назвать? Во-первых, это ее нелинейность. Это в теории красиво выглядит - “21 шаг построения ИБ на предприятии”, “Горячая десятка ИБ-процессов”, “Поэтапное внедрение системы управления ИБ в компании” и т.п. Реальность, она иная. Либо регулярно появляющиеся новые вводные, либо новые угрозы, заставляющие менять подходы к ИБ, либо вовсе хаотическое развитие, неподчиняющееся упрощенному и выхолощенному лозунгу “Планируй-Делай-Проверяй-Улучшай” (кстати, меня всегда удивляло, почему Act переводят как “улучшай” и чем Act отличается от Do?). Это если не рассматривать и вовсе новомодные штучки типа Agile, которые прямо конфликтуют по своей идеологии с размеренным и долгоиграющим PDCA и ISO 27001 на его основе. Кстати, ряд экспертов, стоящих у истоков ISO 27001, прямо говорят, что текущий цикл обновления стандарта - это зло; он не учитывает изменений, происходящих в отрасли, что негативно сказывается на эффективности процесса управления ИБ на предприятиях.

Во-вторых, безопасность в отличие от системы качества требует учета “интересов” злоумышленников, которые могут разбить все благие намерения по линейному циклу обеспечения управления ИБ. Более того, система повышения качества вообще не предполагает конкурентной среды, которая есть в информационной безопасности и без которой она немыслима. Вас ударили туда, где вы вообще забыли провести анализ рисков. Или вы запланировали внедрение повышения осведомленности персонала только через 2 года (а раньше денег не дают), а основной вектор для злоумышленников именно в вашей компании - это и есть нерасторопность и невнимательность пользователей. Вы срочно меняете свои планы и внедряете систему обучения персонала, а злоумышленики уже переориентировались и бьют по вашим контрагентам. Как тут помогает линейный и последовательный PDCA? Никак.

В контексте отсутствия учета внешних конкурирующих сил никак не помогает и любая другая цикличная модель, используемая в ИТ. Например, тот же COBIT, который в предыдущей, 4-й версии использовал тот же PDCA, а в новой, пятой версии перешел на семишаговый цикл. Но и он не учитывает воздействия неотъемлемых для ИБ сил напрочь отсутствующих в ИТ. В модели ITIL ровно тоже самое - цикл PDCA во всей красе.


В-третьих, вы не можете все время совершенствоваться. Непрерывное совершенствование подразумевает непрерывное изменение, которое само по себе является проблемой. Тут и путаница с текущим состоянием процессов и процедур (если они постоянно совершенствуются, то что является “текущим” и “желаемым” состоянием и как отслеживать динамику улучшений), и следование  устаревшим практикам, которые изменяются не так оперативно как процессы, и “усталость” персонала, который психологически не может жить в процессе постоянного изменения - они начинают путаться, совершать ошибки, скрывать недочеты и, в итоге, разочаровываться в идее повышения качества и терять мотивацию. В новых версиях стандартов, построенных на базе PDCA, этот момент учтен, но все ли активно пересматривают и свои взгляды (или живут в соответствии с полученными много лет назад знаниями)?

Кстати, первоначальная концепция PDCA была ориентирована на дополнительные улучшения уже существующих процессов, а не на перестройку всего процесса производства или построение его с нуля; да еще и в сложно организованной компании. Ведь понемногу улучшать существующее гораздо проще, чем строить все с основ. У нас же ISO 27001 рассматривается именно как стратегия построения или перестроения службы ИБ с самого начала и внедрения процессов ИБ по всему предприятию. Я нередко слышу от вновь пришедших на новое место работы коллег, что они будут внедрять там ISO 27001 (без сертификации пока). А все почему? Потому что это “стандарт де-факто”, который не принято критически оценивать. Отсюда и не очень высокое число успешных внедрений ISO 27001 и еще меньшее число повторных сертификаций. Многие эксперты отмечают, что ISO 27001 давно уже превратился из стандарта по безопасности в продукт зарабатывания денег для аудиторов и разработчиков новых реинкарнаций ISO 27001 для разных вертикалей и применений - финансов, операторов связи, промышленных предприятий и т.п.

Но ведь PDCA работает! В Японии он сильно помог поднять качество производства. Да! В Японии! 50 лет назад! Вы обращали внимание, где больше всего компаний, сертифицированных по ISO 27001? Не знаю, как сейчас, но еще несколько лет назад, когда эта тема в России была модной, я анализировал страны, в которых сертификация на соответствие ISO 27001 имела хождение. Оказалось, что чуть ли не 80% всех сертификатов выдано японским компаниям. Оно и понятно, в стране, где идея PDCA и родилась и культивировалась, грех было бы увидеть иные цифры. Но в мире картина внедрения ISO 27001 с его концепцией PDCA оказалась совсем иной. На нее очень сильно влияют культурные различия Востока и Запада.

Я в свое время изучал “историю” PDCA и оказалось, что то, к чему мы так привыкли, говоря про PDCA, немного отличается от того, что Шухарт реально делал в Японии 50 лет назад. В реальной жизни процессы, процедуры и мероприятия для улучшения качества были намного детальнее и обширнее, чем выхолощенная абстракция, заключенная в 4-х символах аббревиатуры PDCA, разработанной специально для Запада. На действующих производствах фаз повышения качества было гораздо больше четырех и разрабатывались они специально для Японии и ее культуры. Однако в мир ушла именно упрощенная модель (возможно именно потому, что она была упрощенной и более понятной), потянувшая за собой ворох проблем с ее интерпретацией. И чем больше людей было в цепочке интерпретаторов, тем дальше от исходной концепции уходила реализация. Кроме того, в исходной версии подхода Шухарта и Деминга предполагалось, что за улучшение качества будут отвечать выделенные сотрудники, эксперты, погруженные в тематику. Сегодня, в условиях когда требуется активное вовлечение и рядовых сотрудников в обеспечение ИБ, требовать от них понимания всех ИБ-концепций не приходится. В итоге они начинают очень вольно трактовать достаточно конкретные положения PDCA или того же ISO 27001 (интерпретации и трактовка - это один из бичей стандартизации вообще и ИБ в частности). Кстати, даже сами японцы за 50 лет существования концепции PDCA изменились. Об этом стоит помнить. Люди! Вот те, о ком мало говорится в цикле PDCA, но от кого зависит успех (или неуспех) его внедрения на предприятии. Почему различные японские модели (то же “бережливое производство”) так плохо внедряются за пределами Японии? Почему продукция из одинаковых запчастей, собранная на одинаковых конвейерах в России и Германии, отличается? Потому что люди разные и их восприятие и принятие процессов тоже разные. Пару лет назад в Высшей школе экономики я делал презентацию “Русская ментальность как фактор невозможности адекватного управления ИБ на базе западных практик”, которая вызвала достаточно живую (мягко сказано) дискуссию, которая, на мой взгляд, показала, что в России действительно не так просто внедрять западные (да и восточные) методики управления ИБ, родившиеся в совершенно иной исторической и культурологической среде. С PDCA ситуация такая же.

PDCA не говорит вам как решать те или иные ИБ-проблемы. Это речевка, лозунг из советских времен. Их восприятие зависит от многих условий и для эффективной реализации требует гораздо большей детализации, чем просто 4 шага. При этом большая часть усилий должно тратиться на самом первом этапе планирования, но как можно все, что нужно делать в ИБ, вместить в упрощенный донельзя один шаг “Plan”? Не случайно, видя проблемы с PDCA в области улучшения качества, на свет появились лучше детализированные и проработанные концепции DMAIC (Define - Measure - Analyze - Improve - Control) или “Шесть сигм”. Тот же COBIT в итоге отказался PDCA в сторону семишагового цикла.


С планированием вообще не все так просто. Термин “Plan” сильно зажимает вас в прокрустово ложе линейных и пошаговых моделей. Вы ограничены в выборе творческих путей формирования тех или иных решений в области ИБ. Как мне кажется, время прямолинейных решений в ИБ проходит. Не случайно сейчас активно развивается тема геймификации в ИБ. И, кстати. Всегда ли вы действуете на основании плана? Мне можно возразить, что всегда прежде чем что-то сделать, надо подумать, спланировать и потом уже действовать. В теории да, а на практике? Часто ли вы действуете спонтанно или вне плана? И насколько вас устраивают результаты? Улучшение возможно и без плана, а в современных условиях, когда злоумышленники действуют творчески, так же творчески должны действовать и специалисты по ИБ (в том числе творческий подход очень важен при отсутствии бюджета). А творчество и инновации с одной стороны и систематическое планирование с другой - вещи плохо совместимые.

Значит ли все вышенаписанное, что PDCA - это ненужная и неработающая концепция? Конечно, нет. PDCA может задать основу для построения службы и процессов ИБ, но он не является инструментом, которым можно пользоваться изо дня в день, особенно в “конкурентной” среде, коей является информационная безопасность. Помимо PDCA можно обратить внимание и на другие методы - DMAIC, IDEAL, ТРИЗ, TBBDI, EBBDI, из которых можно извлечь что-нибудь полезное. А вообще, не надо быть догматиком. Ключевой идеей, закладываемой в ISO 27001 в свое время, было создание на базе передового опыта базового уровня в области ИБ. Однако за 20 с лишним лет первоначальная идея была извращена и современный ISO 27001 - это неповоротливая конструкция, ориентированная на соответствие (галочный подход), от которого страдает реальная безопасность предприятия. И положенный в основу ISO 27001 цикл PDCA явно не помог эту конструкцию сделать более гибкой и адаптивной. Концепция PDCA в принципе не учитывает, что процессу улучшения ИБ могут мешать хакеры и регуляторы с генерируемыми ими динамическими изменениями, влияющими на обеспечение ИБ. Отсюда и сложности с ее применением, о которых надо просто знать и помнить.


7 коммент.:

Unknown комментирует...

Может использовать SDCA (Standard-Do-Check-Act) ;)

Alexey комментирует...

В последней версии стандарта нет PDCA, есть идея постоянного совершенствования, что будешь применять решать тебе. Статья опирается на знание стандарта до 2013 года...

Советую обновить знания.

Сергей Городилов комментирует...

С одной стороны верно. Рассуждать так необходимо для того, чтобы вопросы необходимые возникли у неспециалистов перед тем, как начать копать дальше. Именно копать, а не решить кинуться или не кинуться на ISO 27001, т.к. на него кинуться так просто не получится.
С другой, мне довелось слушать точку зрения идеологов 176 комитета ISO. Так вот они рисовали картинку, каким образом этот цикл заложен в ISO 9001. И картинка эта не такая плоская, как Вы Алексей рисуете и обычную её можно поиском в яндексе найти. И её не найдешь в яндексе. А картинка эта в ЧЕТЫРЕ уровня вложенности, отражающая все уровни деятельности - от топ-менеджмента (цели) до конечных операций (контроль продукции). Общая суть в том, что PDCA - это ДИСЦИПЛИНА, по которой требуется от всех уровней простая вещь - МОЗГИ, то есть АНАЛИЗ - в этом главное.
Анализировать нужно соответствие результатов тому, что ожидалось. Не важно, какой подход и как он назван. Если нет анализа, то нет развития. Цикл PDCA об этом.

Эта же идеология в ISO 27001.

Противники этих стандартов и вообще идеологии ISO в области систем менеджмента прежде всего против "системы записей", которая забюрокрачивает процессы менеджмента.

Сергей Городилов комментирует...

И еще. Генри Минцберг в одной из работ выделил три способа действовать, когда не знаешь с чего начать:
- Think First
- Do First
- See First
Абсолютно разные подходы. Имеют и плюсы и минусы. Выбрать одно - как складывать все яйца в одну корзину. Т.е. нужен взвешенный подход.

Он же и пишет: "Или вымирание из-за инстинктов или паралич от анализа - Выбирайте господа!"

Unknown комментирует...

Pdca это оболочка (одна из упомянутых оболочек). Как, какую и в какой реализации использовать - решать каждому. А основа у всех - процессный подход к управлению. Основная задача которого - контролировать качество через управление входами в процесс, а не брак на выходе. Уменьшать вариации процесса и достигать статистически управляемого результата. Для ИБ этот подход остаётся верным. А оболочка действительно устаревает и это нужно учитывать в конкретных инфраструктурах, век сменился ещё в 1994ом...

Алексей Лукацкий комментирует...

Сергей: в заметке упоминается, что в исходной версии PDCA был более сложным и объемным, чем просто 4 шага :-) Про это многие забывают.

Alexey: я знаком с новой версией 27001 (Cisco сертифицирована по нему), но pdca очень сильно повлиял на 27001 и хотя в явной форме в новой версии он не упоминается, он по-прежнему сильно на него опирается. Ну и заметка все-таки про PDCA, а не про 27001.

Сергей Городилов комментирует...

Алексей, они не забывают, а скорее не знают. Стандарты же этой серии сильно упрощены за время развития. Подробности по методологии за пределами. Книжки по SADT, IDEF0 мало кто видел даже из консультантов, хотя про процессный подход трубят все. А вообще PDCA - это системный подход, если кратко. В ряде специальностей его дают, но на большинстве - нет.