Недавно Алексей Лукацкий написал заметку " Сказ о том, почему цикл PDCA плохо работает в ИБ", в которой критиковал модель PDCA. У меня к ней появились замечания и комментарии, решил обобщить их тут. Попробую кратко.
Обратите внимание, что я специально сначала написал большой пост про PDCA, чтобы напомнить основные идеи. Если вы его еще не прочитали, то начните с него.
Но вернемся к заметке Алексея, она большая, и если вам ее лениво читать всю, то прокомментирую все ключевые мысли:
- PDCA не применим, т.к. современная ИБ нелинейна (часто появляются новые угрозы), да и злоумышленники более гибкие, а это не учитывается (не успеваем) в модели.
- Мой комментарий: Вот именно из-за изменчивости общей среды и необходимо постоянно совершенствовать свою систему ИБ, на это и рассчитана модель PDCA. Все новое должно учитываться на этапе "Plan", когда производится анализ КОНТЕКСТА. Про это я подробно писал тут. Не каждая новая угроза и уязвимость требует обновления системы ИБ, тем более, что редко это надо делать срочно... Да, и еще, небольшие и быстрые изменения, если уж очень надо, можно вносить на этапе "Act". Так что тут проблемы я не вижу...
- Современная ИБ не может все время совершенствоваться. Непрерывное совершенствование подразумевает непрерывное изменение, которое само по себе является проблемой.
- Мой комментарий: Основная идея PDCA - "управление с обратной связью". Если все хорошо, цели ИБ достигаются (они являются измеримыми) и величины контрольных метрик в норме, то надо ли вносить проблемные изменения и усложнять систему? Конечно нет! Тут стоит подумать об упрощении процедур и требований, а такого рода изменения обычно проходят легко... Если делать совсем нечего (в плане совершенствования), то можно подумать про повышение уровня зрелости отдельных процессов, а эта задача на дооооооолгое время, да и изменчивость контекста не позволит скучать без дела...
- PDCA работал в Японии 50 лет назад, но в современной ИБ много ли вы видели сертификации по 27001 в России?
- Мой комментарий: Печально, когда не видим лес за деревьями... Да, СУИБ без PDCA обычно не строят (хотя новая версия 27001 позволяет использовать другие модели непрерывного совершенствования), но PDCA может быть и без СУИБ... И это нормально, просто процессы управления (в том числе и ИБ) могут быть выстроены с логикой PDCA. Кстати, забавно, что у компаний, получивших сертификации СМК (их в России несколько десятков тысяч) тоже скорее всего есть PDCA ;))) ...
- PDCA слишком общая модель, для успешной реализации нужные еще и детальные инструкции и процедуры.
- Мой комментарий: Ну, да. Если хотите посмотреть детальные рекомендации для ИБ, то посмотрите хотя бы ISO 27003.
- Модель PDCA завязанана людей и их поведение. Люди разные и их восприятие и принятие процессов тоже разные, поэтому модель PDCA не работает.
- Мой комментарий: Ну, да, на людей стоит ориентироваться, поэтому в стандарте ISO 27001 все больше внимания (от версии к версии) уделяется "заинтересованным сторонам", "лидерству" и "поддержке руководством". Да, с людьми надо работать. Да, порой это не просто. Но вы с ними будете иметь дело, и внедряя идеологию PDCA, и не внедряя ее... Разницы не вижу.
- "Большая часть усилий должно тратиться на самом первом этапе планирования, но как можно все, что нужно делать в ИБ, вместить в упрощенный донельзя один шаг “Plan”?"
- Мой комментарий: А не надо вмещать все-все-все, PDCA - это цикл. Вполне можно планировать и небольшие совершенствования, но почаще :))) Но, а так, да, стадия "Plan" самая сложная и ответственная. Логично, что запланированное необходимо будет внедрять на стадии "Do", и она напрямую завязана на качественное планирование. Но многие упускают из виду, еще и то, что если на стадии "Plan" не определить метрики и измеримые результаты, то у нас будут проблемы и на стадии "Check"...
- "Меня всегда удивляло, почему Act переводят как “улучшай” и чем Act отличается от Do?"и еще продолжу "Как мне кажется, время прямолинейных решений в ИБ проходит. ... Всегда ли вы действуете на основании плана? Мне можно возразить, что всегда прежде чем что-то сделать, надо подумать, спланировать и потом уже действовать. В теории да, а на практике? Часто ли вы действуете спонтанно или вне плана? И насколько вас устраивают результаты? Улучшение возможно и без плана, а в современных условиях, когда злоумышленники действуют творчески, так же творчески должны действовать и специалисты по ИБ (в том числе творческий подход очень важен при отсутствии бюджета).".
- Мой комментарий: А вот и одно из отличий "Do" от "Act": на втором вполне можно внедрять небольшие и срочные изменения и без планирования... Про это было кратко в прошлой заметке.
- "Не случайно, видя проблемы с PDCA в области улучшения качества, на свет появились лучше детализированные и проработанные концепции DMAIC (Define - Measure -Analyze - Improve - Control) или “Шесть сигм”. Тот же COBIT в итоге отказался PDCA в сторону семишагового цикла."
- Мой комментарий: Ну, да, я вот тоже скорее предпочитаю модель из COBIT5. Но не потому, что PDCA не работает, а т.к. в COBIT5 больше примеров и рекомендаций по построению процесса. Одна модель другой не противоречит...
Но по сути Алексей был прав, модель PDCA работает не у всех. Я бы выделил следующие причины:
- Модель выглядит слишком просто, и в ее суть поэтому вникают редко. Да и материалов по теме не много...
- Если о PDCA задумываются в контексте СУИБ по 27001, то, как я уже говорил, часто "не видят лес за деревьями", слишком много внимания и сил уделяется внедрению мер, но не выстраиванию процессов.
- PDCA - это модель управления! Если мы занимаемся лишь операционной деятельностью и "тушением пожаров", то когда мы найдем время на планирование и контроль?
- До PDCA еще надо дорасти, развить процессы. Самые ощущаемые результаты эта модель начнет приносить при уровнях зрелости выше 3го по CMMI (когда процессы стабильные и уже документированные).
- Часто бывает, что специалисты слабо понимают контекст организации, уделяют мало времени его анализу и осмыслению. А это очень важно на этапе "Plan".
- Единицы думают про фазу "Check" на стадии "Plan". У ИБ редко бывают четко определены показатели результативности и эффективности. И это приводит к проблемам при анализе на фазе "Check" (не понятно, что и как надо измерять).
