Обеспечение информационной безопасности бизнеса

Голдуев Н. А.

Далеко за примерами ходить не надо. Известны результаты акций по внедрению систем менеджмента качества (СМК) в большинстве российских компаний, когда основной целью были «шашечки», а «ехать» никто никуда не собирался. Но это одна ситуация. Более печально, когда руководство организации на самом деле желает поднять качество деятельности (продукции), но в силу слабой компетенции сотрудников получает обратный результат… Даже для европейского менталитета и гораздо более высокой исполнительской дисциплины персонала западных компаний такая ситуации не редкость.

Журнал European Quality, издаваемый Европейской организацией по качеству, опубликовал в статье «10 аргументов против применения стандартов

ИСО серии 9000» изложение фрагмента книги Дж. Седдона «В поисках качества. Дело против ИСО 9000» [9]. Автор считает, что существуют более надежные способы повышения эффективности предприятий, удовлетворения потребителей, обеспечения реального качества и увеличения прибылей, чем работа в соответствии с предписаниями стандартов ИСО серии 9000, даже в версии 2000 г. Дж. Седдон полагает, что внедрение стандартов ИСО серии 9000 нанесло ущерб конкурентоспособности сотен тысяч организаций. Он приводит мнение одного из британских специалистов, который был тесно связан с внедрением британского стандарта BS 5750, послужившего основой для разработки международных стандартов ИСО серии 9000: «Внедрение BS 5750/ISO 9000 в британской промышленности стало крупнейшим обманом». Автор отмечает, что главной ошибкой была излишняя уверенность организаций в том, что внедрение стандартов качества решит все проблемы (наивные британцы!). При этом обращается внимание на то, что процедура сертификации по ИСО 9000 не позволила организациям разглядеть реальные возможности для повышения своих показателей, которые они обязательно заметили бы в ином случае: процедура регистрации на соответствие стандартам ИСО 9000 заслонила собой эти возможности.

Среди аргументов против применения стандартов ИСО серии 9000 Дж. Седдон приводит и абсолютно ожидаемый, касающийся требований документирования СМК. Он отмечает, что из-за обилия отчетных регистрационных форм персонал компаний неявно подменяет ими содержание своего труда, так как контроль идет по формализованным свидетельствам о выполненной деятельности на том или ином участке работ. Ту же ситуацию мы видим и в российских компаниях, внедряющих подобные стандарты, когда их применение не ориентировано на совершенствование продукта/результата деятельности, когда решения о применении стандартов менеджмента не сопровождаются обсуждением и закреплением о том, что и как планируется улучшить в деятельности организации, относительно имеющейся в настоящее время ситуации.

2.1.3. Модели непрерывного совершенствования и международные стандарты

Указанные особенности и условия внедрения и применения модели Деминга уместны для любого вида менеджмента в организации (управленческого, производственного, обслуживающего, ресурсного и т. п.). Модель определяет основные этапы, шаги, а их наполнение — ту задачу, которую планируется решить. Все большее число принимаемых международных стандартов менеджмента для различных сфер их применения преследуют фактически одну главную цель — дать базовый ориентир содержательного наполнения работ модели Деминга в терминах и содержании решаемой задачи.

На рис. 19 и 20 представлены примеры структуры эталонной модели менеджмента применительно к эталонной модели менеджмент риска организации [10] и системы менеджмента информационной безопасности [11], обеспечивающие «настройку» модели Деминга на соответствующие сферы применения.

Структура менеджмента риска, представленная на рис. 19, предназначена для содействия организации в эффективном осуществлении менеджмент риска через реализацию соответствующего процесса менеджмента риска на различных уровнях и в рамках определенного контекста организации. Данная структура должна обеспечивать условия того, что полученная в результате работы из этих процессов информация о риске будет адекватным

образом доведена до сведения и использована в качестве основы для принятия необходимых решений и поддержке отчетности на соответствующих уровнях корпоративного управления и операционной деятельности в организации.

Структура менеджмента риска, представленная на рис. 20, предназначена для содействия организации в установлении и поддержке системы менеджмента информационной безопасности организации, отвечающей лучшим международным практикам. Далее будут достаточно подробно отражены шаги внедрения стандартизированных систем менеджмента информационной безопасности

Только приведенными примерами сфера применения моделей непрерывного совершенствования в структуре требований международных стандартов не ограничивается. К настоящему времени принято множество комплексов стандартов на системы менеджмента в различных сферах деятельности (от безопасности продуктов питания до управления цепочками поставок продукции), а также применительно к общим и отдельным задачам, реализуемым в рамках организаций.

Не вдаваясь в детали (с ними можно ознакомиться, взяв любой стандарт на ту или иную систему менеджмента), каждый из них (подобно приведенным на рис. 19 и 20) включает необходимые параметры настойки модели Деминга на соответствующие виды деятельности в терминах и семантике сферы применения. В целом же общий эталонный подход модели непрерывного совершенствования отражает рис. 21.

Каждый из стандартов на системы менеджмента включает положения, де-факто ориентирующие на реализацию модели непрерывного совершенствования. Далее рассмотрим, как это может работать в рамках организации.

2.2. Стандартизированные модели менеджмента. Аспекты контроля и совершенствования. Интеграция

2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления

На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:

— менеджмента информационной безопасности организаций (ISO / IEC 27001);

— менеджмента качества (ГОСТ Р ИСО 9000);

— менеджмента окружающей среды (ГОСТ Р ИСО 14000).

Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.

Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.