09.10.2013

«Какие стандарты нам нужны и зачем?»

Ходил на оный диспут в рамках INFOBEZ. Велик был соблазн воспользоваться чуть не 20-летним опытом по эту сторону рынка и просто констатировать, что хорошо тут без них ныне и присно, но все же соорудил некую объяснялку.

Когда юриста спрашивают, как поступить в таком-то деле, он уточняет: "Если я на стороне кого?". Вот и поднимая тему, какие стандарты нам нужны, прежде всего нужно определить, мы – кто?

Проще всего с конторами, которые непосредственно на переводе, издании или распространении кормятся: этим годятся абсолютно любые и не важно о чем – лишь бы побольше как в штуках, так и в печатных знаках.

А вот физику, потребителю сами по себе стандарты безопасности не нужны – ему нужны гарантии безопасности, ее подтверждения, свидетельства. Когда продукт или услуга, которую он покупает (или получает бесплатно, это ведь может быть и государственная услуга), соответствует какому-то стандарту, то это, конечно, некие дополнительные очки в ее пользу, дополнительный повод на то решиться или выбрать Х, а не Y. Но это очень слабые очки! Примерно на уровне медалек, которые на этикетках рисуют. Любые предубеждения их перебивают, любые сообщения об инцидентах, слухи, советы друзей. Если человек будет покупать автомобиль, то ГОСТа "№ какой-то там" не будет в десятке – в десятке будут характеристики, результаты независимых тестов, сравнения в журналах, имидж бренда, опыт соседей и т.д. – вот чему он доверится за свои кровные. Причины можно искать, но факт: сейчас репутация товара/услуги или их производителя в исчезающе малой степени обеспечивается соответствием стандарту.

Продавцу услуг по информационной безопасности, "консалтеру" стандарты тоже не нужны, ему нужны проданные проекты. Штампованные очень удобно продавать – и звучит авторитетно, и можно сильно не вникать в особенности заказчиков. Но все же не стандартные в полном смысле, а имитирующие. Иначе будет прозрачное ценообразование. Ты ведь не объяснишь, почему надо купить у тебя дороже, а не за углом дешевле, или почему ты тому клиенту за рубль продал, а с этого три хочешь. И главное надо ведь место для твоей магии оставить, чтобы он без тебя не обошелся - нормальный-то стандарт он бы и сам прочел/понял.

Я когда слышу, что кто-то нахваливает стандарт, всегда очень интересно понять, в качестве чего. Ибо ситуация, знаете, примерно какая: "Джинсы - такая замечательная одежда: я из них классные прихваточки шью!". А причем тут одежда, это мог быть рулон ткани с таким же успехом.
Когда кому-то не хватает знаний, то для него стандарт шпаргалка какая-то, источник терминологии непротиворечивой, свод мудрых советов, многие из которых полезны. Но тут, по-моему, если стандарты восполняют собой нехватку нормальных учебников, то нужно больше учебников, а не больше стандартов. (Кстати, надо сказать, бывает, что это сами стандарты такие – когда по сути это методология, а для продвижения выдает себя за стандарт, маскируется. Там попросту нечего выполнять: вода и квадратики красивые со стрелочками.)

А вот в корпоративном секторе распространенный вариант – это стандарт в роли входного билета. Некий набор обязательных действий, чтобы войти в какой-то клуб. Как в примере с платежными системами. Но это же не выбор организации, она бы с удовольствием не покупала этот билет, если бы можно было не покупать. Потому что в нем нет конкурентного преимущества, когда это у всех, кто продает однотипные с тобой продукты или услуги.
Или встречается стандарт как недостающее обоснование, когда ИБ не смогло убедить руководство через риски, и поэтому аппелирует к какому-то стандарту – но это же подмена целей стандарта опять-таки.
Стандарт, по сути своей – это механизм преодоления проблемы разнообразия: "под одну гребенку", "как инкубаторские" и т.п. Кому это нужно, разве кто-то любит быть одинаковым? Вот он и нужен не тому, в отношении кого его применяют, а тому, кто применяет. Не когда оно на тебя сверху, а когда ты его вниз. Это очень удобно управлять однотипным. Поэтому в организации пишем стандарт (или заимствуем готовый) и по нему строим в шеренги то, что под нами - маршрутизаторы, домены, филиалы.
Плюс легче взаимодействовать с партнерами, когда общая система терминов, форматы обмена (инцидентами, например). Но есть загвоздка: стандартов-то слишком много. Если один придерживается 53647, а другой 34-ой серии ГОСТ, поговорить им будет нечем – там только буквы алфавита совпадают.

И, конечно, вузовский стандарт на подготовку по специальности – есть такая тема. Но там большой подводный камень: сначала нужно решить, потребность в образованных или в обученных. Узкие знания сейчас устаревают очень быстро – может и не должны в ВУЗах давать, что на работе за месяц дадут.

В общем, сколько я перебирал – нашел добровольное применение только внутренним стандартам и на взаимодействие. А принудить нас сами принудят.

И бонус для тех, кто все это слышал – чуть другой вариант ответа про 27001.
Пришел молодой адепт к гуру: "Можешь научить меня воспламенять бумагу одним взглядом?". "Могу, но это довольно сложная практика: там 5 лет в позе лотоса, 60000 повторений мантры и все такое". "Я готов, учитель, начинай же скорее!". "Ну, хорошо. Но дурак ты - спички же существуют".
27001 – настолько хороший стандарт, что достоинств больше, чем недостатков. Но эффекты, которые наступят, можно получить и без него.

4 комментария:

Анонимный комментирует...

Э-ээ. Я как бы не совсем понял :) Причин для использования какого-либо стандарта названо много и все они верны, более того в зависимости от ситуации могут и меняться как для потребителя стандарта (бизнеса), так и исполнителя (подразделение ИБ). Так почему следует вывод, что стандарты не нужны.
То что их много (но при этом они неплохо коррелируют между собой), согласен - есть проблема. Но если бы стандартов не было разве стало бы лучше?

Ригель комментирует...

Да оно, в принципе, об этом и написано, что в зависимости от целей ответ колеблется от "никакие" до "любые" со всеми промежуточными. Это заданная тема была - стандарты, а она действительно зависит.

Роман Кобцев комментирует...

ИМХО добровольные стандарты, которые не имеют принудительной побуждающей мотивации служат не гарантией качества, а просто лучшими (возможно) практиками, и здесь ничего плохого нет. Это просто более простой путь сделать "как надо". К примеру, можно долго изучать строительные журналы, можно даже строительный институт закончить, и построить себе дом. А можно сделать "как у соседа" из серии "ну я у него был много раз, у него классно, меня все устраивает, и 20 лет у него проблем не было вообще". Но тогда такие добровольные стандарты должны также сами себе заслужить репутацию. Заслужат - будут жить, нет - помрут. А вот стандарты там всяких соответствий, типа PCI DSS, уже все-таки хотелось бы иметь с какой то гарантией. Но кто за это ответит? Сколько было случаев, когда в фин. организации, у которой только что завершился успешный аудит на PCI DSS, утекали сотни тысяч данных по кредиткам, и PCI council при этом был как бы и не при чем...

Ригель комментирует...

Роман, здравствуй, прощу прощения за запоздавший ответ. А что мешает неким "Best 35 security controls" быть в этой роли - при чем тут именно стандарт?

Отправить комментарий