Комплекс стандартов для ИТ и сертификация

История создания

Основой для стандарта ISO 20000 послужила последняя версия британского стандарта BS 15000, разработанного BSI и содержащего описание универсальных критериев для оценки системы управления ИТ-сервисами организации или соответствующей службы. В отличие от более ранних стандартов, ISO 20000 изначально готовился только для определенной отрасли и был создан, во многом, по запросам ИТ-индустрии с учетом специфики работы подобных компаний. Кроме стандартизации эффективного оказания ИТ-услуг, обеспечения выполнения большого количества требований заказчиков с учетом специфики их бизнеса, он содержит ссылки на методологию оценки ИТ-рисков и может быть применим для оценки той или иной системы информационной безопасности, реализованной в компании.

Отметим, что идея об обобщении лучших практик ИТ-сервисов в единое целое принадлежала британскому правительству, которое в 1989 году инициировало разработку «Библиотеки лучших практик реализации процессов и процедур оказания ИT-сервисов» (далее ITIL). На первом этапе реализация этого проекта по обобщению передового опыта в ИТ была поручена специальному агентству British Central Computer & Telecommunications, где была создана рабочая группа из представителей ИТ-поставщиков, корпоративных пользователей и консультантов, которые специализируются на подобных компаниях.

В итоговой работе, составляющей семь многостраничных томов, тщательно проработана комплексная методика управления ИТ-инфраструктурой любой современной компании, соответствующая бизнес-требованиям организации.

На втором этапе, в 1991 году, был создан ITSM форум, который занялся адаптацией научных рекомендаций к существовавшей в то время бизнес-практике. В середине 90-х именно эта организация обратилась в Британский институт стандартов (British Standards Institution – BSI), более 100 лет вырабатывающий нормы для утверждения производственных, технологических и промышленных международных стандартов, с просьбой о разработке общих положений, описывающих спецификации, которые позволяли бы оценить качество предоставления ИТ-сервисов по единой, общедоступной и единообразно трактуемой шкале оценок. В течение следующих пяти лет, на третьем этапе проекта, такой стандарт был создан – BS 15000. Спустя еще пять лет, в декабре 2005 года, был опубликован новый стандарт международной организации по стандартизации ISO 20000-1:2005, заменивший локальный британский стандарт BS 15000:2002, оставив, между тем, 99% его содержательной части.

Структура и особенности стандарта ISO 20000

В рамках ISO/IEC 20000 были определены 13 важнейших ИТ-процессов, собранных в пять ключевых групп. В первую входят процессы оказания услуг, включающие в себя управление уровнем услуг (Service Level Management), управление доступностью (Availability Management) и управление возможностями сервисов (Capacity Management). Фактически этот набор сервисов определяет качество и глубину реализации организуемых в компании ИТ-сервисов.

Вторая группа – процессы взаимоотношений, эта область включает в себя связи и отношения между поставщиком услуг, клиентом и подрядными организациями.

Третья группа – процессы решения проблем, сфокусированные на так называемых инцидентах, то есть критических событиях в ИТ-структуре компании, которые удалось предотвратить или успешно разрешить. Данные методы должны быть документированными, иметь поддержку на аппаратно-программном уровне (соответствующее ПО, системы мониторинга элементов ИТ-инфраструктуры и т.д.), персонал должен пройти соответствующее обучение.

Четвертая группа – процессы контроля, с их помощью в компании управляют изменениями и конфигурациями. Таким образом, ИТ-дирекция компании должна достаточно четко представлять не только ключевые параметры качества, но и механизм их сбора.

Пятая группа – процесс релиза, т.е. качество внедрения новых и уже имеющихся решений. Ну и конечно, в описание стандарта входят требования, связанные с областями ответственности руководства компании, предоставляющей ИТ-сервисы, управления документацией и управления компетентностью, осведомленностью и подготовкой персонала.

Международный стандарт ISO 20000:2005, больше чем какие-либо другие отраслевые методологии в области управления процессами ИТ-сервиса, направлен на реализацию задач, связанных как с организацией тендеров при выборе организаций, предоставляющих услуги по ИТ-сервису, так и с оценкой организациями своего собственного ИТ-сервиса и планирование путей его дальнейшего улучшения.

После того, как организация проведет оценку соответствия требованиям стандарта ISO 20000-1:2005, можно представить объем нереализованных требований и запланировать их выполнение с учетом рекомендаций, изложенных в ISO 20000-2:2005, библиотеке ITIL или в любой другой методологии и рекомендациях, связанных с ИТ-сервисами и процессами, включая собственной опыт. Необходимо понимать, что внедрение ISO 20000-2:2005 или ITIL не является обязательным требованием соответствия ISO/IEC 20000, но делает процесс сертификации гораздо проще и яснее.

Горизонтальные связи

Отметим, что все стандарты ISO взаимосвязаны – это как равноценные строительные элементы, на базе которых компании любого типа могут выстроить адаптивную структуру своей организации. Принцип разработки стандартов ISO довольно прост – инициатива создания новых стандартов исходит от организаций, использующих данные нормативные документы (как правило, это производители продукции или услуг, нуждающиеся в их интеграции с другой продукцией или услугами). Эти организации формируют базовые требования к стандарту и передают их своим национальным (по странам) представителям в ISO.

В ISO решается вопрос о целесообразности разработки новых стандартов и в случае положительного решения определяется технический комитет, которому предстоит разработать проект этого документа, который рассылается по комитетам – членам ISO для изучения и оценки. При положительных итогах голосования он принимается как стандарт ISO.

Таким образом, являясь самостоятельным комплексом организационных мер, ISO 20000-1, тем не менее, достаточно гармонично сочетается и интегрируется с несколькими предшественниками, а именно ISO 9001 – международным стандартом по созданию системы управления качеством продуктов и услуг, и ISO 27001 – стандартом управления в области информационной безопасности.

Система менеджмента качества

ISO 9001 – это хороший первый шаг компании, стремящейся получить сертификацию на ISO 20000-1. Цель этого стандарта – внести согласованность и объективность в действия системы контроля качества, а фактически – открыть глаза руководству компании на производственные процессы, цепочки поставки ресурсов, обеспечивающие деятельность бизнеса с возможностью управления как своими производственными, логистическими процессами, так и системой закупок и поставок от подрядных организаций.

Система управления качеством на основе международного стандарта ISO 9001 – это составляющая системы управления бизнесом, ориентирующая ее на производство продукции или оказание услуг с показателями качества, соответствующими ожиданиям потребителей. Другими словами, составляющие системы управления качеством задают требования к организации процессов и процедур общей системы управления бизнесом таким образом, чтобы продукт на выходе системы был качественным с точки зрения потребителя. Система качества может быть применена ко всем аспектам управления, например, к таким как маркетинг, продажа продукции и, конечно, основной процесс производства продукции или предоставления услуг.

Сертифицируя систему менеджмента качества по международному стандарту ISO 9001, предприятия получают ряд преимуществ в конкурентной борьбе, среди которых можно отметить повышение шансов на победу при участии в тендерах, конкурсах, а также при заключении внутренних или внешних контрактов. Стоит отметить и повышение эффективности производства, снижение его непроизводительных затрат, повышение качества продукции. Внедренная система качества позволяет благодаря применению статистических методов увеличивать объем продаж при меньших трудовых затратах, а также обеспечивает руководителю ситуацию, при которой он может сфокусировать усилия персонала на ключевых аспектах бизнеса: маркетинге, качестве производства, увеличении объема продаж.

Имея такой сертификат становится проще привлекать российских и иностранных инвесторов, а кроме того, увеличивается доверие со стороны инвестиционных, страховых, юридических и других компаний в процессе предпринимательской деятельности. С момента появления в 1987 году стандартов серии ISO 9000 соответствующую регистрацию прошло около 250 тыс. организаций по всему миру. 

Система менеджмента информационной безопасности

Второй стандарт, с которым ISO 20000-1 связан гармонично и непосредственно, – это ISO/IEC 27001:2005, устанавливающий правила построения защищенных систем управления информационной безопасностью в компании. Отметим, что ISO 27001 является необходимым и обязательным компонентом для развития стандарта ISO 20000-1, поскольку он определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. в контексте информационной безопасности – без этого оптимизировать ИТ-сервисы весьма затруднительно. Внедренная и сертифицированная система безопасности обеспечивает сохранность уже наработанных массивов данных, и защитные механизмы позволяют более грамотно проектировать и развивать ИТ-сервисы компании.

ISO 27001 дает возможность стандартизировать процессы управления информационной безопасностью и сделать их наиболее оптимальными. Фактически, этот стандарт – база для внед­рения ISO 20000, то есть та адаптивная внешняя среда, которая организует создание и эксплуатацию системы управления информационной безопасностью (СУИБ).

ISO 27001 дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информации, и может с одинаковым успехом применяться в компаниях разного масштаба – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек. При этом ISO/IEC 27001:2005 может использоваться для защиты предоставляемых организацией информационных сервисов и услуг, бизнес-процессов, а также любых других видов информации, включая финансовую, кадровую информацию, данные по поставщикам (базы данных и рабочие документы) и, что немаловажно, информацию, принадлежащую партнерам и клиентам, полученную от них на время или в рамках совместных проектов, – все, что является значимым ресурсом любой компании и все, что уязвимо для угроз безопасности. Важно, что данный стандарт не концентрируется лишь на конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

ISO/IEC 27001:2005 не является техническим стандартом. Основная цель стандарта ISO 27001 – создание общей системы, пригодной для разработки, внедрения и оценки эффективности системы управления информационной безопасностью (СУИБ), применимой как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

СУИБ, построенная в соответствии с требованиями ISO/IEC 27001:2005, представляет собой комплексную систему, включающую и механизмы управления, и механизмы защиты информации. Но управленческая часть не может быть реализована без технической составляющей. Для этой цели служит система обеспечения ИБ (сокращенно СОИБ), которая как раз и является технической составляющей и обеспечивает реализацию положений стандарта на более низком программно-техническом уровне.

Сама СУИБ включает в себя группу процессов, обеспечивающих информационную безопасность внутри бизнес-системы компании. Сюда относятся процессы управления рисками (полностью этому направлению будет посвящен отдельный стандарт ISO 27005, он выйдет в конце 2007 года), инцидентами, процесс обеспечения непрерывности бизнеса, процесс управления персоналом с точки зрения информационной безопасности, физическая защита носителей данных и информационных ресурсов компании и т.д. По сути, все они позволяют свести отдельные элементы и сервисы информационной безопасности в общую, целостную и управляемую систему. В основе системы управления информационной безопасностью, внедряемой в организации, лежит анализ рисков. Это самый сложный и самый трудозатратный процесс. Условно он делится на несколько этапов.

Первый – обследование, идентификация активов, обеспечивающих бизнес-процессы области деятельности, и их оценка по степени критичности, а также выявление угроз, характерных для этих активов. Анализ рисков дает возможность идентифицировать имеющиеся угрозы, оценить вероятность их осуществления и возможные последствия для компании. Происходит и определение зоны ответственности и действия СУИБ. Отметим, что это решение принимается совместно с руководством компании-заказчика на основе принципов построения СУИБ, которые желательно соблюдать постоянно.

Второй этап – разработка методологии (или использование существующих методов анализа, в том числе автоматизированных) анализа рисков. На основе анализа разрабатывается комплексный план мероприятий по снижению рисков до приемлемого уровня – фактически меняется представление руководства компании и ИТ-управления о том, что необходимо делать. От тактики «защитим периметр максимально возможным количеством способов» компания переходит к определению критически важных уязвимостей (части корпоративной сети, объем информации и т.д.) и выделяет для их безопасности максимально возможные ресурсы (аппаратно-программные комплексы). С помощью бизнес-консультантов возможно не только определить наиболее вероятные направления атаки на информационные ресурсы, но и разработать свои индивидуальные критерии важности той или иной информации, циркулируемой в сети, а также необходимости определенных систем для жизнедеятельности компании. К слову, компаниям-заказчикам можно ориентироваться как на критерии, которые органы по сертификации разрабатывают для вертикальных рынков, так и на рейтинг защищенности компаний, работающих в одной отрасли, – у бизнес-консультантов обычно есть готовые примеры для сравнения.

Третий этап – планирование обработки рисков, когда документально определяются необходимые контрмеры для приведения уровня рисков к приемлемому для данной организации (документ утверждается гендиректором). На основе анализа разрабатывается комплексный план мероприятий по снижению рисков до приемлемого уровня. Таким образом, меняется представление руководства компании и ИТ-управления о том, что необходимо делать. Фактически, на этом этапе ИТ-подразделения компании достаточно четко обосновывают необходимость тех или иных затрат на конкретные системы безопасности по защите критических участков бизнес-сферы, а не все подряд. Именно на этом этапе меняется и вся картина мира компаний-заказчиков: приходит понимание, что у них нет необходимости затрачивать значительные финансовые ресурсы для равномерной обороны периметра от все возрастающего количества угроз. Компания, определив значимые направления своей деятельности, переходит к гибкой, эшелонированной обороне, позволяющей маневрировать, вовремя  перебрасывая ресурсы на наиболее опасные участки «фронта». Такой подход базируется на вовлеченности персонала компании в процесс создания структурированной системы информационной безопасности.

Вовлечение руководства и бизнес-подразделений в принятие решений по ИБ заключается в том, что при внедрении стандарта в организации создается как минимум два комитета. Первый – комитет СУИБ, в него входят руководители всех отделов, которые заинтересованы в безопасности бизнес-процессов, а возглавляет его генеральный директор. Этот комитет создает исполнительный комитет (второй в данном процессе), состоящий из специалистов по развертыванию тех систем, которые будут необходимы в каждом конкретном случае. Именно они занимаются внедрением бизнес-процессов по СУИБ.

Также выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель системы. Это обеспечивает «прозрачность» СУИБ для персонала и руководства, дает преимущество в страховании информационных рисков, а также позволяет эффективно управлять системой в критических ситуациях, снижать и оптимизировать стоимость поддержки системы ИБ, получать другие преимущества.

Отметим еще несколько пунктов, демонстрирующих достаточно тесную связь стандартов ISO 20000 и 27001. Это процессы решения проблем, сфокусированные на детектировании, анализе и должным образом формализованных событиях (инцидентах). По сути, это критические события в ИТ-структуре компании, возникновение которых отражает серьезный сбой бизнес-процессов и систем безопасности, обеспечивающих их деятельность. Решение подобных проблем всегда комплексно и, кроме прочего, может иметь аналитический оттенок. ИТ-подразделения компании изучают статистику инцидентов за любой отчетный период и на основании полученных данных совершенствуют свою систему информационной безопасности, уточняют оценку критических точек, являющихся важными для бесперебойной работы системы. Также общими являются процессы контроля – с их помощью в компании управляют изменениями ИТ-структуры и бизнес-процессов, имеющимися в распоряжении ИТ-служб активами и конфигурациями оборудования и защитных программ.

Именно поэтому критически важен для СУИБ процесс управления инцидентами безопасности. Отметим, что частота появления и количество подобных инцидентов, связанных с ИБ, – наглядные показатели того, правильно ли функционирует система управления безопасностью. При подготовке СУИБ к сертификации для ISO 27001 обычно проводится такой перечень работ и система настраивается таким образом, чтобы была реализована своевременная и автоматическая реакция на инциденты безопасности и устранение их последствий.

Стоит обратить внимание и на непрерывность бизнеса – ключевое условие успешного функционирования любой современной компании, при создании системы ИБ его обеспечению уделяется исключительное внимание. Риск чрезвычайной ситуации существует всегда, и эффективность ее устранения будет зависеть от того, насколько компания подготовлена к этому.

С 2005 года, когда Международная организация по стандартизации (ISO) приняла стандарт BSI BS 7799-2:2002 в качестве международного – ISO/IEC 27001:2005, в мире уже выдано более 3500 сертификатов на соответствие этому стандарту, причем большинство из них – в Японии, где наличие подобных документов для средних и крупных компаний является обязательным по закону.

Преимущества сертификации

Наличие сертификатов, тем более класса ISO, лишним не бывает, знак «Сертифицировано по стандарту ISO 20000» можно добавлять к самым дорогим наградам и званиям. И это вполне заслуженно, поскольку его получение можно сравнить с выходом на новый рынок или организацией отдельного подразделения компании «с нуля». Отметим, что такие сертификаты – совсем не редкость в мировой практике (число компаний, получивших подобные документы, исчисляется тысячами), соответствовать им может и среднее, и крупное предприятие без катастрофических затрат, главное – изначально постулировать системный подход при описании своих бизнес-процедур и создание логически понятной цепи производства конечного продукта. Поскольку сертификация осуществляется авторитетным и независимым органом, такое признание ценно вдвойне – его можно продемонстрировать партнерам, реальным и, что самое главное, будущим клиентам, инвесторам и всему рынку.

Однако этим конкурентное преимущество для компании не исчерпывается. Дело в том, что в процессе приведения организационной структуры компании «к единому знаменателю», создания системы контроля качества услуг и ключевых показателей, выстраивания цепочки сбора информации о деятельности компании организация получает возможность повысить эффективность своих ИТ-сервисов. Это возможно благодаря контролю над проблемами бизнес-процессов управления ИТ-сервисами, а также выработке и реализации рекомендаций по повышению текущего уровня зрелости своих бизнес-процессов.

Таким образом, в компании происходит повышение доходности за счет снижения прямых потерь, связанных с предоставлением некачественных продуктов и сервисов вследствие уже имеющихся проблем в процессах управления (система управления ИТ-сервисами (СУИС) становится «прозрачнее» для менеджмента). Кроме этого внедрение адаптивной СУИС оказывает благотворное влияние на общую организацию работы и профессиональный уровень сотрудников, а ее сертификация является положительным фактором при слиянии компаний холдингов (либо при включении в свою структуру новых приобретений), при получении кредитов и правительственных заказов, а также повышения уровня капитализации компании. Выработка единых правил обмена информацией (единых стандартов, адаптация программных решений) дает возможность более эффективно взаимодействовать с партнерскими организациями и клиентами. Компаниям, предоставляющим сервис сторонним клиентам, имеет смысл ожидать увеличения доверия с их стороны, поскольку они видят, что благодаря соблюдению требований к качеству ИТ-сервисов и услуг компания демонстрирует стремление уменьшить их риски – ИТ-сервисы, защищенные с точки зрения информационной безопасности всегда более надежны, чем те, которые не имеют такой поддержки. Вдобавок, для локальных компаний, действующих в рамках одной страны, сертификация по ISO 20000 открывает возможности для сотрудничества с транснациональными корпорациями, поскольку наличие сертификата гарантирует признание компании на международном уровне.

Подход к процессу регистрации

Для сертификации СУИС ее, для начала, необходимо создать. Как ни странно, но для средней или крупной компании типовой срок на этот процесс составляет порядка двух с половиной месяцев при условии, что необходимая материально-техническая база для подобного проекта есть. При помощи сторонних консультантов разработка плана создания СУИС занимает не больше трех дней – в этот срок рабочие группы заказчика и исполнителя собирают информацию о текущем положении дел и намечают основные пути совершенствования имеющихся элементов СУИС. Основа системы – совокупность ее отдельных элементов, для понимания которых надо разработать структуру необходимых документов (порядка 5 дней), адаптировать уже действующие в организации документы (всевозможные регламенты, технические условия и т.д. – 10 дней), установить контроль над разработкой новых документов (18–20 дней). Отметим, что последний пункт является ключевым – консультанты могут только предоставить необходимые знания для организации процесса, но не проводить его за специалистов компании, поскольку процесс должен работать в автономном режиме без их участия в дальнейшем.

Внедрение элементов СУИС тоже состоит из трех основных направлений: обучение сотрудников компании элементам СУИС (понимание внутренней структуры системы, основных и подчиненных процессов и т.д.), разработка планов внедрения всех составных элементов СУИС и контроль реализации описанной системы. На все этапы отводится примерно по 20 дней.

До процесса сертификации необходимо выполнить еще одно условие сертификационных органов – выдержать время для опытной эксплуатации СУИС, в процессе которой обкатываются контроль исполнения процессов системы, контроль ведения записей о деятельности СУИС и консультирование исполнителей процессов СУИС с целью наиболее эффективного управления процессами. Каждый этап длится около 30 дней.

В настоящее время для компаний, решивших сертифицировать свою СУИС, существует два основных подхода, каждый из которых имеет свою специфику.

Первый – отдельная сертификация. Этот путь подходит для компаний, готовых проверить соответствие своей системы управления требованиям ISO 20000. Это глубокая, но локальная проверка на соответствие по отдельному списку критериев. Фирма, выдержавшая испытание, получит документ о том, что «Организация продемонстрировала соответствие требованиям ISO 20000-1:2005». При этом внедрение стандартов ISO 20000:2005 наиболее целесообразно рассматривать совместно с внедрением общей методологии управления качеством предприятия на основе широко известного стандарта ISO 9001:2000, а также с учетом требований международного стандарта по управлению информационной безопасности ISO/IEC 27001:2005 – все вместе это создаст целостную и эффективную систему. Однако, если компания хочет получить только ISO 20000 и не более того – это ее право.

Второй подход – полная сертификация. Фактически это расширение области регистрации, когда после завершения сертификации по ISO 9001:2000 аудитор проверит компанию на соответствие требованиям ISO 20000 в той их части, которая отличается от ISO 9001 или уточняет методологию. После успешной сертификации, путем расширения области регистрации, компания получит сертификат соответствия ISO/IEC 20000-1:2005. Отметим, что только сертификация поISO 9001:2000 создает общую основу для развития всех процессов организации, влияющих на обеспечение удовлетворенности потребителя, конечно, включая процессы ИТ-сервисов.

В любом случае при сертификации СУИС эксперты проверяют системный и процессный подход предприятия (грамотное исполнение бизнес-процессов), обращая первостепенное внимание на степень их внедрения и понимание персоналом. Целью аудита является не только обращение внимания руководства компании на возможные несоответствия, но и реализация в процессе управления качественных примеров, уже имеющихся на рынке.

Стоит вспомнить, что существуют как минимум три ведущие мотивации для получения сертификации по ISO 20000. Во-первых, так называемая специфическая: несмотря на то, что получение сертификата (как и выполнение требований, связанных с его присвоением) – дело добровольное, организации отчетливо понимают, что наличие такого документа дает им вполне реальный шанс участвовать в тендерах, где заказчиками выступают крупные международные компании. Явно наличие у исполнителя ISO 20000  обычно нигде не прописывается, но, без сомнения, учитывается тендерной комиссией при «прочих равных» предложениях. Компании такого типа можно разделить на две неравные части: с одной стороны, это небольшие фирмы, ориентированные на работу с крупными иностранными партнерами (к примеру, оффшорное программирование, разработка математических моделей для сложной техники, инженерные решения и т.д.); с другой – крупные организации, руководство которых считает необходимым иметь все действующие сертификации, рассматривая это как значимое конкурентное преимущество для региональной экспансии или развития своей доли на местном рынке.

Во-вторых, так называемая добровольная мотивация. Тут речь идет о компаниях, которые отлично осознают необходимость повышения качества своих ИТ-сервисов и услуг, связанную с оптимизацией для получения сертификата
ISO 20000. В данном случае этот шаг для них – продуманная мера, вытекающая из желания развивать эффективный бизнес и постоянно снижать издержки, оптимизировать структуру управления. Такие компании, средние или большие, проходят сертификацию постепенно, обеспечивая преемственность с уже действующими системами менеджмента (например, ISO 9001). В качестве дополнительного бонуса они адаптируют для себя систему ключевых показателей своей деятельности, что позволяет им составлять разумные и аргументированные отчеты для акционеров, многие из которых весьма слабо разбираются в специфике ИТ-бизнеса. Оперируя общедоступными критериями, они добиваются лучшего понимания своими акционерами аудиторских отчетов и основных трендов развития бизнеса. Стоит упомянуть и тот факт, что сертификация дает им возможность внедрить адаптивные инструменты для работы с конечными клиентами (системы отчетов, рапортов и сбора статистических данных). С помощью процесса сертификации они получают работающую систему, которая помогает принимать нестандартные и эффективные решения.

Рис. 1 Процесс сертификации на соответствие ISO20000

В-третьих, «целенаправленная» мотивация. Это касается компаний, сертифицирующих свои бизнес-процессы, в основном, для более эффективной работы с поставщиками и клиентами.

В данном случае речь идет о дистрибьюторах, роль которых уже не сводится к простой доставке и перепродаже техники. В настоящее время такие компании помогают клиенту сделать разумный выбор, определить действительно необходимую технику, сформировать заказ и получить оборудование в точно обозначенное время. При наличии у них сертификата ISO 20000 многие вендоры готовы увеличить им скидки по партнерским программам, поскольку получают от них вполне сформированные заказы, учитывающие возможную скорость доставки техники с региональных складов, четкий прогноз будущих закупок, анализ клиентских предпочтений по достоинствам той или иной продуктовой линейки.

Этапы совершенствования

Без сомнения, подготовиться к процессу сертификации можно и без участия сторонних консультантов, для этого есть вполне выполнимая адаптивная схема. Первое: внимательно изучить текст самого стандарта на уровне ИТ-дирекции компании. Все подобные документы переведены на русский язык, так что особых сложностей не предвидится. Второе: принять решение о том, возможно ли внедрение всех требований стандарта (и, соответственно, изменение организационной структуры компании) своими силами. Для этого следует определить наличие ресурсов, возможность создания оперативных рабочих групп и просчитать эффективность подобных решений. Третье: осознать необходимость корпоративного обучения для повышения компетентности тех сотрудников, которые войдут в рабочую группу по внедрению положений стандарта. Это могут быть руководители компании, технические специалисты, а также возможна организация курсов для внутренних аудиторов. Если выполнение всех трех этапов проблематично (загруженность персонала, нехватка квалифицированных кадров и т.д.), то, возможно, стоит отдать этот процесс на аутсорсинг.

В случае твердой уверенности в том, что сертификация на ISO 20000 необходима (некоторые компании, внедрив все требуемые процедуры, не спешат формально подтверждать свое соответствие этому стандарту), организации предстоит пройти семь основных этапов для достижения конечного результата.

Первый этап – выбор сертификационной компании. «Большая тройка» для ИТ-компаний выглядит следующим образом: BSI с 41% рынка, LRQA (21%) и DNV (18%). Обычно при формировании запроса стоит указать свои пожелания по скорости сертификации (как правило весь процесс проходит за период от 3 до 9 месяцев), а также наличие или отсутствие подготовительных мероприятий к этому процессу.

Второй этап – предоставление предложения со стороны консультантов и органа по сертификации. Обычно для этого требуется не больше рабочей недели. В документ включаются все необходимые запросы и документы для оформления процедуры оценки и регистрации СУИС по стандарту BS ISO/IEC 20000-1:2005.

На третьем этапе компания-претендент направляет официальную заявку в орган по сертификации, форма заявки прилагается к окончательной калькуляции данного процесса.

Как только все документы подписаны, на четвертом этапе ответственные эксперты органа по сертификации, номинированные на проведение аудита СУИС компании, будут оказывать поддержку специалистам организации (согласно разработанному плану) в процессе регистрации и по его завершении.

Пятый этап, в отличие от предыдущих, занимает значительное время – это предсертификационный аудит. Здесь происходит как изучение документации СУИС, так и определение степени внедрения СУИС, ее готовности к сертификационному аудиту. Отметим, что это факультативная услуга, являющаяся по своему назначению тренировочным, репетиционным аудитом, который проводится с целью обеспечения готовности компании для сертификационного аудита. Такой аудит должен рассматриваться как оценка, контролируемая клиентом, аудитор готов помочь выявить любые области, требующие усовершенствования. По завершении аудита проводится рабочее совещание для обсуждения его результатов и предоставляется специальный отчет, в котором подробно описываются все отмеченные положительные стороны системы компании и выявленные несоответствия. Продолжительность этого этапа составляет от двух до шести человеко-дней. Такие аудиты могут проводиться на любом этапе в ходе каждой конкретной программы регистрации, однако их максимальное количество, по стандарту, ограничивается тремя. После этого компании предоставляется время для устранения всех выявленных несоответствий и необходимых корректировок.

Шестой, предпоследний этап – сертификационный аудит, проводимый в две стадии, фактически это оценка командой аудиторов внедренной на предприятии СУИС. Процедура сертификации состоит из нескольких этапов, каждый из которых будет начинаться с вступительного совещания, где подтверждается область деятельности, подлежащая аудиту, текущее состояние системы менеджмента, а также разъясняется процесс аудита и составляется отчетность.

В процессе сертификации полной оценке подлежат документы СУИС, фокусирующиеся на соответствующих процедурах, внедренных с целью определения степени рисков и влияний на процессы предприятия. Аудиторы сосредоточат свое внимание на соответствующих задокументированных политиках ИТ-сервисов, организационной структуре компании и распределении ответственности среди специалистов, статусах внутренних аудитов и анализа со стороны руководства. Исследованию подвергнутся методы проверки качества услуг, действующие системы оперативного контроля и мониторинга, подтверждение повсеместного, эффективного внедрения СУИС в компании, а также подтверждение наличия системы постоянного совершенствования как самой СУИС, так и предоставляемых ИТ-сервисов. По итогам исследования аудиторами создается финальный отчет и принимается решение относительно рекомендации СУИС к регистрации.

Рис. 2 Процесс совершенствования ИТинфраструктуры компании для выхода на сертификацию по стандарту ISO 20000

На этом этапе во время оценки могут быть выявлены два типа несоответствий, различающихся по степени глубины той или иной проблемы. Первое – это значительное несоответствие, отражающее полное отсутствие внедрения какого-либо процесса или процедуры (или полным срывом работы процесса или процедуры), или полное несоблюдение пункта(ов) стандарта. Второе – незначительное несоответствие, которое является наблюдаемым отклонением в каком-либо процессе или процедуре, что требует инициации плана корректирующих действий. Осуществление соответствующих корректирующих действий будет проверяться в течение первого визита в рамках последующей периодической оценки.

В зависимости от количества, качества, степени и характера выявленных несоответствий возможны три варианта итога сертификационного аудита. Это либо выпуск сертификата после предоставления плана корректирующих действий и проведения повторного визита, либо выпуск сертификата после предоставления плана корректирующих действий без повторного визита, либо выпуск сертификата без предоставления такого плана. На заключительном совещании оглашаются итоги сертификационного аудита, и команда аудиторов сообщает о своем решении (рекомендация / не рекомендация к регистрации).

Если при проведении аудита было выявлено значительное несоответствие, то аудитор не может рекомендовать систему менеджмента компании к регистрации. В этом случае потребуется дополнительный аудит, который по своей продолжительности может приравниваться ко всей или к части стадии аудита, на которой было выявлено значительное несоответствие. Отметим, что к этой категории проблем относятся действительно значимые проблемы, прямым образом влияющие на целостность бизнеса или ИТ-системы компании.

Дополнительный аудит проводится для того, чтобы удостовериться, что в заявленной компанией системе менеджмента нет явных значимых нарушений, и она может быть рекомендована к регистрации. Продолжительность такого аудита устанавливает аудитор. Как правило, это один-пять человеко-дней, конечное число которых определяется в зависимости от протяженности во времени уже прошедших мероприятий. К слову, хорошей практикой является проведение дополнительного аудита в течение одного-двух месяцев с даты второй стадии проверки сертификационного аудита, однако такой подход зависит от готовности компании. Напомним, что по правилам BSI, если компания не будет готова к проведению дополнительного аудита в течение шести месяцев с момента обнаружения значительного нарушения, то потребуется заново проходить все стадии сертификационного аудита с самого начала.

Не секрет, что бывают и такие случаи, когда значимые нарушения выявляются в ходе инспекционного аудита. В такой ситуации дополнительный аудит необходимо провести в течение трех месяцев, персоналу компании придется приложить серьезные и крайне оперативные усилия для решения возникших вопросов. Если же дополнительный аудит не состоялся или, состоявшись, не подтвердил целостность регистрации, аудитор рекомендует отзыв сертификата, что неминуемо произойдет.

Заключительный, седьмой этап – оформление сертификата по итогам сертификационного аудита. В получаемом документе клиент, зарегистрировавший свою СУИС в органе по сертификации, получает сертификат, где отражено полное название компании, ее реквизиты (юридический адрес, стандарт, на соответствие которому проводился аудит, область деятельности, орган по аккредитации и т.д.). Основной язык документа – английский, хотя возможен и равноценный аналог на русском языке (они имеют равный статус).

Сотрудничество по рекомендации

Подготовка к сертификационному аудиту – достаточно деликатный проект, в процессе которого специалисты, приглашенные компанией-претендентом, получат конфиденциальную информацию о бизнес-процессах, способах реагирования на действия окружающей среды, уровне автоматизации и эффективности ИТ-процессов организации. Логично предположить, что выбор консультанта для такой работы будет проводиться тщательно на основе оценок по нескольким факторам. Во-первых, опыт работы как компании-оператора, так и представленных ей консультантов в отрасли должен быть не менее двух лет. Этот минимальный срок для профессионального становления и накопления необходимого опыта реализации проектов, анализа существующих рисков и определения возможных путей выхода из проблемных ситуаций.

Отметим, что достаточно часто в иностранных или российских компаниях консультантами выступают иностранцы. Это не принципиально, зачастую отечественные специалисты лучше западных представляют себе специфику работы на локальном рынке, особенности организации бизнес- и ИТ-процессов в компаниях разного масштаба.

Второй параметр – количество компетентного персонала, квалификацию которого консультативная компания может подтвердить сертификатами обучения в органе по сертификации по стандартам ISO 9001, ISO 20000-1, ISO 27011 и т.п. Как известно, подобные сертификаты являются именными, а не оформляются на компанию, и получить их довольно сложно – сотруднику необходимо иметь опыт участия в подобных консультативных проектах, опыт успешных сертификационных аудитов, проходящих после его работы, и т.д. Все это свидетельствует о том, что консультанты четко представляют себе процедуру, проводимую органом по сертификации (и его подходы к проведению сертификационного аудита), в который компания собирается выходить на сертификацию; что у них установлены партнерские отношения с органом по сертификации и есть общее понимание подхода к данному процессу, существуют четкие критерии оценки бизнес- и ИТ-процессов компании.

В-третьих, это наличие у компании проекта собственной системы управления качеством, распространяющейся в том числе и на консультационные услуги и соответствующей требованиям международного стандарта ISO 9001 (для гарантии качества оказываемых услуг). Также в консультативной компании крайне желательно наличие уже реализованной системы управления ИT-сервисами и/или системы управления информационной безопасностью, соответствующей требованиям ISO 20000-1 и ISO 27001 соответственно.

Аудит действующей системы

Получение сертификата – это только начало. Этот документ выдается на три года, в течение которых для его поддержания со стороны сертифицирующей организации действует система последующей периодической оценки (ППО). Периодическая проверка компаний, получивших сертификат соответствия ISO – часть системы качества, которая позволяет поддерживать бизнес-процессы на необходимом уровне. Перед проведением наблюдательного аудита осуществляется актуализация сведений о предприятии с целью учета изменений, оказывающих существенное влияние на сферу деятельности или методы работы заказчика.

Ежегодно аудитор органа по сертификации проводит инспекционный аудит на предприятии, оценивая текущую ситуацию с системой управления ИТ-сервисами. Продолжительность и стоимость такого аудита составляет около 33% от стоимости сертификационного аудита в первый (количество визитов разбивается на два визита) и второй годы наблюдения и 78% на третьем году, поскольку в это время начинается процесс ресертификации – по объему работ это чуть больше, чем обычная инспекция, но несколько меньше, чем сертификация «с нуля».

Если продолжительность наблюдательного аудита невелика, то он может проводиться одним аудитором. Если наблюдательный аудит не был проведен в установленные сроки, действие сертификата приостанавливается.

В рамках ежегодных наблюдательных аудитов анализ некоторых ключевых элементов системы менеджмента (в каждой системе менеджмента они свои) проводится всегда, остальные элементы делятся между наблюдательными аудитами так, чтобы за два года аудиту были подвергнуты все требования соответствующей нормы. В случае выявления несоответствий осуществляются те же действия, что и при сертификационном аудите, например, при наличии значительных отклонений сертификат может быть отозван.

По результатам каждого аудита составляется отчет, в котором тщательно описывается, насколько бизнес-процессы, действующие на предприятии, соответствуют требованиям стандартов ISO, имеется ли достаточный опыт документирования всех необходимых бизнес-процедур, а также ведение записей о системе качества. Указанный документ направляется в орган по сертификации и заказчику.

После проведения ресертификации системы менеджмента (которая заменяет собой ППО третьего года сертификационного цикла) принимается решение о перевыпуске сертификата соответствия сроком на 3 года.

Примеры внедрений

Сертификация каждой отдельной компании – вполне индивидуальный проект, которому предшествуют тщательное изучение компании консультантами и модификация бизнес-процессов в соответствии с требованиями того или иного стандарта. По сути, это тщательная и кропотливая перестройка деятельности компании, происходящая в процессе работы организации в режиме реального времени, ведь нельзя на время приостановить выполнение текущих операций. Далее мы расскажем о сертификации страховой компании РОСНО и компании «Межрегиональный Транзит Телеком».

Контроль информации клиентов и партнеров

Проведение работ по обеспечению информационной безопасности сегодня уже не просто хороший тон – это насущная необходимость. Дело в том, что информация и персональные данные клиентов являются одним из основных активов страховой компании, их сохранность влияет на имидж организации и степень доверия к ней потребителя. Прохождение сертификации гарантирует инвесторам, партнерам и клиентам, что страховая компания не только предоставляет качественные услуги, но обеспечивает максимальную степень защиты доверенной ей информации, для сохранения которой РОСНО создала систему управления информационной безопасностью, прошедшую сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005.

В этом процессе РОСНО сотрудничала с компаниями «Инфосистемы Джет» (партнер и консультант компании по подготовке к аудиту на соответствие требованиям стандарта) и BSI Management Systems CIS (сертифицирующая организация); система управления информационной безопасностью (СУИБ) ОАО «РОСНО» была реализована партнерами в течение 10 месяцев.

В 1999 году, в разгул мошенничества в отечественном страховом бизнесе, РОСНО первой в России стала заниматься расследованием страховых событий; именно с этого момента началась разработка ее политики безопасности. Для того чтобы понять, какие угрозы существуют в сфере ИТ, компания пригласила стороннюю фирму, поручив ее специалистам попытаться взломать систему компании извне. После этого и была начата реализация мер по созданию механизмов защиты конфиденциальных данных о клиентах РОСНО – как физических, так и юридических лицах. Отличительная черта данного проекта заключается в том, что сертификации подлежали не отдельные функции и не только управление ИТ-инфра­структурой, но и основной бизнес страховой компании.

Сертификационный аудит системы управления информационной безопасностью РОСНО провели сотрудники BSI – первой международной организации, располагающей русскоязычными аудиторами, осуществляющей сертификацию на соответствие требованиям ISO 27001:2005 («Системы менеджмента информационной безопасности. Требования») в России и в странах СНГ. Наряду с РОСНО обладателями аналогичного сертификата являются крупнейшие международные финансовые компании, такие как Alliance, Frankfurter Volksbank, Samsung Life Insurance, Citibank, Federal Reserve Bank, а также крупные страховые компании – Alliance Assurance Inc. (Canada).
Реализованный проект позволил компании вовлечь в обеспечение информационной безопасности бизнеса все свои подразделения. Созданная СУИБ стала частью общей системы управления страховой компании. Ее построением в РОСНО занималась специальная проектная группа, включавшая специалистов службы безопасности, ИT- и бизнес-подразделений. Система содержит организационные, процедурные и технические средства, позволяющие минимизировать традиционные для страховой компании риски и угрозы: нарушение конфиденциальности (хищение и утрата информации, в том числе и персональной информации о клиентах), нарушение доступности информации (блокирование и уничтожение), нарушение целостности данных (несанкционированная и неконтролируемая модификация, навязывание ложной информации).

Одной из приоритетных функций СУИБ является защита сведений о клиентах и оказываемых им услугах от несанкционированного доступа. Сертификация позволяет РОСНО, кроме прочего, получить конкурентные преимущества в работе с крупными корпоративными клиентами, особенно трепетно относящимися к защите информации. Впрочем, частные лица не меньше заинтересованы в надежной защите своей конфиденциальной информации, поскольку утечка данных, например, о медицинских диагнозах, вряд ли кого-то обрадует. Между тем подобные инциденты известны в практике западных страховых компаний. Да и на российском рынке находились предприимчивые граждане, пытавшиеся заработать на реализации баз данных страхователей с конфиденциальной информацией. Сейчас, в соответствии с законом №152 «О персональных данных», после установления факта утечки персональной информации о клиенте из компании та обязана в течение всего трех дней устранить нарушения. 

Риск в рамках стандарта

Предоставление качественных услуг связи, соответствующих всем лицензионным требованиям на территории РФ – совсем непростое дело. При этом на первое место выходит защита информации о своих абонентах, эффективная борьба с фродом (противоправные действия на сетях связи), точность взаиморасчетов и передачи информации с операторами-партнерами, с которыми компания взаимодействует по обмену трафиком. Все эти вопросы были решены в рамках проекта по оптимизации бизнес-структуры компании «Межрегиональный ТранзитТелеком», который продлился около года.

Этот оператор стал первой телекоммуникационной компанией в России, успешно прошедшей сертификационный аудит на соответствие требованиям стандарта информационной безопасности, что позволило МТТ встать в один ряд с ведущими мировыми операторами мира, такими как Vodafone, British Telecom и др. Этот факт является одним из ключевых, благодаря которым компании удается соответствовать жестким требованиям мирового рынка и российского законодательства. Сертифицированная система управления информационной безопасностью (СУИБ) создана по стандарту ISO/IEC 27001:2005 («Системы менеджмента информационной безопасности. Требования»).

Отметим, что и как в случае с компанией РОСНО, аудит МТТ был проведен подразделением BSI в России и СНГ (компанией BSI Management Systems CIS). А консалтинговой фирмой, подготовившей МТТ к аудиту на соответствие требованиям сертификации, стала компания «Инфосистемы Джет», сертифицированный партнер BSI.
Все началось весной 2005 года, когда ОАО «МТТ» получило лицензию Россвязьнадзора на оказание услуг междугородной и международной связи конечным потребителям на всей территории Российской Федерации и вышло на рынок международной связи. Именно тогда рост абонентской базы вызвал необходимость проведения адекватных мер для выполнения требований законодательства РФ по защите сведений об абонентах и оказываемых им услугах, а также для построения эффективного сотрудничества с зарубежными партнерами. Внедрение ISO 27001 в таком случае – это радикальный скачок в построении систем информационной безопасности компании. Указанный стандарт не просто диктует, какие процессы осуществить, он заставляет руководство организации хорошо подумать о защите своего бизнеса, с помощью экспертов определить наиболее критические точки для злоумышленников, меры защитного характера и внедрить программу поиска неисправности в новых версиях поставляемого ПО. При этом система информационной безопасности, с которой работает оператор связи, должна гибко подстраиваться под изменения рынка и те сложные взаимоотношения, которые сегодня существуют на рынке междугородной, международной и локальной связи. Такая адаптация невозможна без системы управления информационной безопасностью.