И снова о сертификации: о граблях и подводных камнях

Конечно, добиться всех тех плюсов, которые сулит внедрение ISO 27001, не так просто, как хотелось бы. Тут работает принцип «через тернии – к звездам».
Внедрение стандарта ISO 27001 – довольно долгая процедура, продолжительность которой зависит от многих факторов: начального состояния ИБ в организации, готовности руководства и персонала к преобразованиям, величины компании, других внедренных стандартов (в частности, уже упоминавшегося ранее ISO 9001).
Как показывает практика, одним из наиболее сложных моментов является подготовка персонала к внедрению описываемых стандартом бизнес-процессов, в частности, формирование так называемого «процессного мышления», а также описание существующих в организации процессов и процедур. Во многом, именно поэтому внедрение ISO 27001 в тех организациях, где успешно внедрен ISO 9001, проходит намного быстрее.
Впрочем, зачастую гораздо более серьезной преградой на пути внедрения стандартов в области информационной безопасности становится непонимание высшего руководства организации сути предлагаемого международными стандартами подхода к управлению рисками. Зачастую, впрочем, отсутствует даже само понимание необходимости приведения сферы обеспечения информационной безопасности компании в относительный порядок. Поэтому в том случае, если внедрение стандарта ISO 27001 – инициатива «снизу», то одной из наиболее существенных трудностей будет «пробиться» через непонимание руководства компании.
Напоследок хотелось бы развеять достаточно распространенное заблуждение, связанное с прохождением сертификации на соответствие стандарту ISO 27001. Оно состоит в том, что, по мнению руководства, сертифицированная система обеспечения информационной безопасности будет обходиться компании существенно дороже. На самом деле, как показывает практика, так бывает только в относительно редких случаях, когда организация до начала внедрения ISO 27001 практически не расходовала средств на обеспечение собственной информационной безопасности. Гораздо чаще расходы после сертификации, напротив, уменьшаются, благодаря тому, что организация концентрируется на существенных для неё рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.
Безусловно, сертификация по стандарту ISO 27001 нужна далеко не всем организациям. И если задача компании состоит в укреплении собственной системы обеспечения информационной безопасности, то сертификация вовсе не является необходимым для этого условием. С другой стороны, если компания хочет укрепить свои позиции на внешних рынках и укрепить мнение о себе, как о передовом представителе своей отрасли, сертификация явно не будет лишней.