9 Октября, 2013

«Какие стандарты нам нужны и зачем?»

Хромов Михаил
Ходил на оный диспут в рамках INFOBEZ. Велик был соблазн воспользоваться чуть не 20-летним опытом по эту сторону рынка и просто констатировать, что хорошо тут без них ныне и присно, но все же соорудил некую объяснялку.

Когда юриста спрашивают, как поступить в таком-то деле, он уточняет: "Если я на стороне кого?". Вот и поднимая тему, какие стандарты нам нужны, прежде всего нужно определить, мы – кто?

Проще всего с конторами, которые непосредственно на переводе, издании или распространении кормятся: этим нужны абсолютно любые, и неважно о чем – лишь бы побольше как в штуках, так и в печатных знаках.

А вот физику, потребителю сами по себе стандарты безопасности не нужны – ему нужны гарантии безопасности, ее подтверждения, свидетельства. Когда продукт или услуга, которую он покупает (или получает бесплатно, это ведь может быть и государственная услуга), соответствует какому-то стандарту, то это, конечно, некие дополнительные очки в ее пользу, дополнительный повод на то решиться или выбрать Х, а не Y, но это очень слабые очки. Примерно на уровне медалек, которые на этикетках рисуют. Любые предубеждения их перебивают, любые сообщения об инцидентах, слухи, советы друзей. Если человек будет покупать автомобиль, то ГОСТа "№ какой-то там" не будет в десятке – в десятке будут характеристики, результаты независимых тестов, сравнения в журналах, имидж бренда, опыт соседей и т.д. – вот чему он доверится за свои кровные. Причины можно искать, но факт: сейчас репутация товара/услуги или их производителя в исчезающе малой степени обеспечивается соответствием стандарту.

Продавцу услуг по информационной безопасности, "консалтеру" стандарты тоже не нужны, ему нужны проданные проекты. Штампованные очень удобно продавать – и звучит авторитетно, и можно сильно не вникать в особенности заказчиков. Но все же не стандартные в полном смысле, а имитирующие. Иначе будет прозрачное ценообразование. Ты ведь не объяснишь, почему надо купить у тебя дороже, а не за углом дешевле, или почему ты тому клиенту за рубль продал, а с этого три хочешь. И главное надо ведь место для твоей магии оставить, чтобы он без тебя не обошелся - реальный-то стандарт он бы и сам прочел/понял.

Я когда слышу, что кто-то нахваливает стандарт, всегда очень интересно понять, в качестве чего. Ибо ситуация, знаете, примерно какая: «Джинсы - такая замечательная одежда: я из них классные прихваточки шью!». А причем тут одежда, это мог быть рулон ткани с таким же успехом.
Когда кому-то не хватает знаний, то для него стандарт шпаргалка какая-то, источник терминологии непротиворечивой, свод мудрых советов, многие из которых полезны. Но тут, по-моему, если стандарты восполняют собой нехватку нормальных учебников, то нужно больше учебников, а не больше стандартов. (Кстати, надо сказать, бывает, что это сами стандарты такие – когда по сути это методология, а для продвижения выдает себя за стандарт, маскируется. Там попросту нечего выполнять: вода и квадратики красивые со стрелочками.)

А вот в корпоративном секторе распространенный вариант – это стандарт в роли входного билета. Некий набор обязательных действий, чтобы войти в какой-то клуб. Как в примере с платежными системами. Но это же не выбор организации, она бы с удовольствием не покупала этот билет, если бы можно было не покупать. Потому что в нем нет конкурентного преимущества, когда это у всех, кто продает однотипные с тобой продукты или услуги.
Или встречается стандарт как недостающее обоснование, когда ИБ не смогло убедить руководство через риски, и поэтому аппелирует к какому-то стандарту – но это же подмена целей стандарта опять-таки.
Стандарт, по сути своей – это механизм преодоления проблемы разнообразия: "под одну гребенку", "как инкубаторские" и т.п. Кому это нужно, разве кто-то любит быть одинаковым? Вот он и нужен не тому, в отношении кого его применяют, а тому, кто применяет. Не когда оно на тебя сверху, а когда ты его вниз. Это очень удобно управлять однотипным. Поэтому в организации пишем стандарт (или заимствуем готовый) и по нему строим в шеренги то, что под нами - маршрутизаторы, домены, филиалы.
Плюс легче взаимодействовать с партнерами, когда общая система терминов, форматы обмена (инцидентами, например). Но есть загвоздка: стандартов-то слишком много. Если один придерживается 53647, а другой 34-ой серии ГОСТ, поговорить им будет нечем – там только буквы алфавита совпадают.

И, конечно, вузовский стандарт на подготовку по специальности – есть такая тема. Но там большой подводный камень: сначала нужно решить, потребность в образованных или в обученных. Узкие знания сейчас устаревают очень быстро – может и не должны в ВУЗах давать, что на работе за месяц дадут.

В общем, сколько я перебирал – нашел добровольное применение только внутренним стандартам и на взаимодействие. А принудить нас сами принудят.

И бонус для тех, кто все это слышал – чуть другой вариант ответа про 27001.
Пришел молодой адепт к гуру: "Можешь научить меня воспламенять бумагу одним взглядом?". "Могу, но это довольно сложная практика – там 5 лет в позе лотоса, 60000 повторений мантры и все такое". "Я готов, учитель, начинай же скорее!". "Ну, хорошо. Но дурак ты: спички же существуют".
27001 – настолько хороший стандарт, что достоинств больше, чем недостатков. Но эффекты, которые наступят, можно получить и без него.
или введите имя

CAPTCHA
10 Октября, 2013
Начну с житейского примера «инкубаторского» подхода: Не факт, что срок годности, закончившийся вчера, свидетельствует о гарантированном «отравлении». Т.е. срок годности заявлен не исходя из конкретных качеств именно этого товара, а исходя из неких «стандартов». Однако многие стараются брать именно «непросроченные товары», не смотря на обобщающие инкубаторские методы. Зачем нужны стандарты? Для минимизации затрат (на безопасность). Выстраивая нечто согласно шаблону (стандарту), мы перекладываем бОльшую долю ответственности (и затрат) с себя на создателя шаблона, соответственно сузив обеспечение безопасности до контроля соответствия заявленному шаблону (стандарту). Возвращаясь к приведенному выше примеру: нет необходимости иметь собственную лабораторию (для экспертизы товаров), достаточно отслеживать сроки годности. Вдогонку идеалистическая модель: Риски страхуются. Для страховки нужны гарантии(вероятности). Гарантию дает сертификация. (согласно неким стандартам) Если негативные последствия все же наступили, то потребителю необходимо всего лишь доказать, что условия эксплуатации полностью соответствуют прописанным в аттестате (сертификате) алгоритмам. Именно в этом случае страховщику придется платить. А уж в том случае, если страховщик последнее время слишком часто раскошеливается, не смотря на то, что стандарты четко соблюдаются, можно подать иск и на «стандартера», но это уже как то совсем футуристично
0 |
  • Поделиться
  • Ссылка