И еще про PDCA и 27001: о чем не сказал Лукацкий

И еще про PDCA и 27001: о чем не сказал Лукацкий
Недавно Алексей Лукацкий написал заметку " Сказ о том, почему цикл PDCA плохо работает в ИБ ", в которой критиковал модель PDCA. У меня к ней появились замечания и комментарии, решил обобщить их тут. Попробую кратко.

Обратите внимание, что я специально сначала написал большой пост про PDCA , чтобы напомнить основные идеи. Если вы его еще не прочитали, то начните с него.

Но вернемся к заметке Алексея, она большая, и если вам ее лениво читать всю, то прокомментирую все ключевые мысли:
  • PDCA не применим, т.к. современная ИБ нелинейна (часто появляются новые угрозы), да и злоумышленники более гибкие, а это не учитывается (не успеваем) в модели. 
  • Мой комментарий: Вот именно из-за изменчивости общей среды и необходимо постоянно совершенствовать свою систему ИБ, на это и рассчитана модель PDCA. Все новое должно учитываться на этапе "Plan", когда производится анализ КОНТЕКСТА. Про это я подробно писал тут . Не каждая новая угроза и уязвимость требует обновления системы ИБ, тем более, что редко это надо делать срочно... Да, и еще, небольшие и быстрые изменения, если уж очень надо, можно вносить на этапе "Act". Так что тут проблемы я не вижу...
  • Современная ИБ не может все время совершенствоваться. Непрерывное совершенствование подразумевает непрерывное изменение, которое само по себе является проблемой.
  • Мой комментарий: Основная идея PDCA - "управление с обратной связью". Если все хорошо, цели ИБ достигаются (они являются измеримыми) и величины контрольных метрик в норме, то надо ли вносить проблемные изменения и усложнять систему? Конечно нет! Тут стоит подумать об упрощении процедур и требований, а такого рода изменения обычно проходят легко... Если делать совсем нечего (в плане совершенствования), то можно подумать про повышение уровня зрелости отдельных процессов, а эта задача на дооооооолгое время, да и изменчивость контекста не позволит скучать без дела...
  • PDCA работал в Японии 50 лет назад, но в современной ИБ много ли вы видели сертификации по 27001 в России? 
  • Мой комментарий: Печально, когда не видим лес за деревьями... Да, СУИБ без PDCA обычно не строят (хотя новая версия 27001 позволяет использовать другие модели непрерывного совершенствования), но PDCA может быть и без СУИБ...  И это нормально, просто процессы управления (в том числе и ИБ) могут быть выстроены с логикой PDCA. Кстати, забавно, что у компаний, получивших сертификации СМК (их в России несколько десятков тысяч ) тоже скорее всего есть PDCA ;))) ... 
  • PDCA слишком общая модель, для успешной реализации нужные еще и детальные инструкции и процедуры. 
  • Мой комментарий: Ну, да. Если хотите посмотреть детальные рекомендации для ИБ, то посмотрите хотя бы ISO 27003 .
  • Модель PDCA завязанана людей и их поведение. Люди разные и их восприятие и принятие процессов тоже разные, поэтому модель PDCA не работает. 
  • Мой комментарий: Ну, да, на людей стоит ориентироваться, поэтому в стандарте ISO 27001 все больше внимания (от версии к версии) уделяется "заинтересованным сторонам", "лидерству" и "поддержке руководством". Да, с людьми надо работать. Да, порой это не просто. Но вы с ними будете иметь дело, и внедряя идеологию PDCA, и не внедряя ее... Разницы не вижу.
  • "Большая часть усилий должно тратиться на самом первом этапе планирования, но как можно все, что нужно делать в ИБ, вместить в упрощенный донельзя один шаг “Plan”?" 
  • Мой комментарий: А не надо вмещать все-все-все, PDCA - это цикл. Вполне можно планировать и небольшие совершенствования, но почаще :))) Но, а так, да, стадия "Plan" самая сложная и ответственная. Логично, что запланированное необходимо будет внедрять на стадии "Do", и она напрямую завязана на качественное планирование. Но многие упускают из виду, еще и то, что если на стадии "Plan" не определить метрики и измеримые результаты, то у нас будут проблемы и на стадии "Check"...
  • "Меня всегда удивляло, почему Act переводят как “улучшай” и чем Act отличается от Do?"и еще продолжу "Как мне кажется, время прямолинейных решений в ИБ проходит. ...  Всегда ли вы действуете на основании плана? Мне можно возразить, что всегда прежде чем что-то сделать, надо подумать, спланировать и потом уже действовать. В теории да, а на практике? Часто ли вы действуете спонтанно или вне плана? И насколько вас устраивают результаты? Улучшение возможно и без плана, а в современных условиях, когда злоумышленники действуют творчески, так же творчески должны действовать и специалисты по ИБ (в том числе творческий подход очень важен при отсутствии бюджета).". 
  • Мой комментарий: А вот и одно из отличий "Do" от "Act": на втором вполне можно внедрять небольшие и срочные изменения и без планирования... Про это было кратко в прошлой заметке .
  • "Не случайно, видя проблемы с PDCA в области улучшения качества, на свет появились лучше детализированные и проработанные концепции DMAIC (Define - Measure -Analyze - Improve - Control) или “Шесть сигм”. Тот же COBIT в итоге отказался PDCA в сторону семишагового цикла.
  • Мой комментарий: Ну, да, я вот тоже скорее предпочитаю модель из COBIT5 . Но не потому, что PDCA не работает, а т.к. в COBIT5 больше примеров и рекомендаций по построению процесса. Одна модель другой не противоречит...



Но по сути Алексей был прав, модель PDCA работает не у всех. Я бы выделил следующие причины:
  • Модель выглядит слишком просто, и в ее суть поэтому вникают редко. Да и материалов по теме не много...

  • Если о PDCA задумываются в контексте СУИБ по 27001, то, как я уже говорил, часто "не видят лес за деревьями", слишком много внимания и сил уделяется внедрению мер, но не выстраиванию процессов.
  • PDCA - это модель управления! Если мы занимаемся лишь операционной деятельностью и "тушением пожаров", то когда мы найдем время на планирование и контроль?
  • До PDCA еще надо дорасти, развить процессы. Самые ощущаемые результаты эта модель начнет приносить при уровнях зрелости выше 3го по CMMI (когда процессы стабильные и уже документированные). 
  • Часто бывает, что специалисты слабо понимают контекст организации, уделяют мало времени его анализу и осмыслению. А это очень важно на этапе "Plan".
  • Единицы думают про фазу "Check" на стадии "Plan". У ИБ редко бывают четко определены показатели результативности и эффективности. И это приводит к проблемам при анализе на фазе "Check" (не понятно, что и как надо измерять).


Вот как-то так. Надеюсь, что заметка оказалась полезной!

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире