Security Lab

«Какие стандарты нам нужны и зачем?»

«Какие стандарты нам нужны и зачем?»
Ходил на оный диспут в рамках INFOBEZ. Велик был соблазн воспользоваться чуть не 20-летним опытом по эту сторону рынка и просто констатировать, что хорошо тут без них ныне и присно, но все же соорудил некую объяснялку.

Когда юриста спрашивают, как поступить в таком-то деле, он уточняет: "Если я на стороне кого?". Вот и поднимая тему, какие стандарты нам нужны, прежде всего нужно определить, мы – кто?

Проще всего с конторами, которые непосредственно на переводе, издании или распространении кормятся: этим нужны абсолютно любые, и неважно о чем – лишь бы побольше как в штуках, так и в печатных знаках.

А вот физику, потребителю сами по себе стандарты безопасности не нужны – ему нужны гарантии безопасности, ее подтверждения, свидетельства. Когда продукт или услуга, которую он покупает (или получает бесплатно, это ведь может быть и государственная услуга), соответствует какому-то стандарту, то это, конечно, некие дополнительные очки в ее пользу, дополнительный повод на то решиться или выбрать Х, а не Y, но это очень слабые очки. Примерно на уровне медалек, которые на этикетках рисуют. Любые предубеждения их перебивают, любые сообщения об инцидентах, слухи, советы друзей. Если человек будет покупать автомобиль, то ГОСТа "№ какой-то там" не будет в десятке – в десятке будут характеристики, результаты независимых тестов, сравнения в журналах, имидж бренда, опыт соседей и т.д. – вот чему он доверится за свои кровные. Причины можно искать, но факт: сейчас репутация товара/услуги или их производителя в исчезающе малой степени обеспечивается соответствием стандарту.

Продавцу услуг по информационной безопасности, "консалтеру" стандарты тоже не нужны, ему нужны проданные проекты. Штампованные очень удобно продавать – и звучит авторитетно, и можно сильно не вникать в особенности заказчиков. Но все же не стандартные в полном смысле, а имитирующие. Иначе будет прозрачное ценообразование. Ты ведь не объяснишь, почему надо купить у тебя дороже, а не за углом дешевле, или почему ты тому клиенту за рубль продал, а с этого три хочешь. И главное надо ведь место для твоей магии оставить, чтобы он без тебя не обошелся - реальный-то стандарт он бы и сам прочел/понял.

Я когда слышу, что кто-то нахваливает стандарт, всегда очень интересно понять, в качестве чего. Ибо ситуация, знаете, примерно какая: «Джинсы - такая замечательная одежда: я из них классные прихваточки шью!». А причем тут одежда, это мог быть рулон ткани с таким же успехом.
Когда кому-то не хватает знаний, то для него стандарт шпаргалка какая-то, источник терминологии непротиворечивой, свод мудрых советов, многие из которых полезны. Но тут, по-моему, если стандарты восполняют собой нехватку нормальных учебников, то нужно больше учебников, а не больше стандартов. (Кстати, надо сказать, бывает, что это сами стандарты такие – когда по сути это методология, а для продвижения выдает себя за стандарт, маскируется. Там попросту нечего выполнять: вода и квадратики красивые со стрелочками.)

А вот в корпоративном секторе распространенный вариант – это стандарт в роли входного билета. Некий набор обязательных действий, чтобы войти в какой-то клуб. Как в примере с платежными системами. Но это же не выбор организации, она бы с удовольствием не покупала этот билет, если бы можно было не покупать. Потому что в нем нет конкурентного преимущества, когда это у всех, кто продает однотипные с тобой продукты или услуги.
Или встречается стандарт как недостающее обоснование, когда ИБ не смогло убедить руководство через риски, и поэтому аппелирует к какому-то стандарту – но это же подмена целей стандарта опять-таки.
Стандарт, по сути своей – это механизм преодоления проблемы разнообразия: "под одну гребенку", "как инкубаторские" и т.п. Кому это нужно, разве кто-то любит быть одинаковым? Вот он и нужен не тому, в отношении кого его применяют, а тому, кто применяет. Не когда оно на тебя сверху, а когда ты его вниз. Это очень удобно управлять однотипным. Поэтому в организации пишем стандарт (или заимствуем готовый) и по нему строим в шеренги то, что под нами - маршрутизаторы, домены, филиалы.
Плюс легче взаимодействовать с партнерами, когда общая система терминов, форматы обмена (инцидентами, например). Но есть загвоздка: стандартов-то слишком много. Если один придерживается 53647, а другой 34-ой серии ГОСТ, поговорить им будет нечем – там только буквы алфавита совпадают.

И, конечно, вузовский стандарт на подготовку по специальности – есть такая тема. Но там большой подводный камень: сначала нужно решить, потребность в образованных или в обученных. Узкие знания сейчас устаревают очень быстро – может и не должны в ВУЗах давать, что на работе за месяц дадут.

В общем, сколько я перебирал – нашел добровольное применение только внутренним стандартам и на взаимодействие. А принудить нас сами принудят.

И бонус для тех, кто все это слышал – чуть другой вариант ответа про 27001.
Пришел молодой адепт к гуру: "Можешь научить меня воспламенять бумагу одним взглядом?". "Могу, но это довольно сложная практика – там 5 лет в позе лотоса, 60000 повторений мантры и все такое". "Я готов, учитель, начинай же скорее!". "Ну, хорошо. Но дурак ты: спички же существуют".
27001 – настолько хороший стандарт, что достоинств больше, чем недостатков. Но эффекты, которые наступят, можно получить и без него.
исо27тыщ термины тусовки ИБ полиси учебники метрики регуляция обучение риски
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Хромов Михаил

proprie communia dicere