Проблема формирования международного имиджа для большинства российских компаний, на сегодняшний день, становится все более актуальной задачей, особенно в условиях вхождения России во Всемирную торговую организацию (ВТО), объединяющей около 150 государств и покрывающей свыше 95% оборота мировой торговли.
Успешный имидж складывается из многих факторов, но, несомненно, одним из наиболее существенных – отношение компании к вопросам управлением информационной безопасностью (ИБ), внедрению и сертификации на соответствие международным требованиям и стандартам.
С недавнего времени в российской практике все большее распространение и применение получает международный стандарт ISO / IEC 27001:2005 – “Управление информационной безопасностью компании”, пришедший на смену ISO / IEC 17799:2005 и английскому стандарту BSI: BS 7799. В пользу использования данного стандарта говорит тот факт, что на его основе для банковского сектора был разработан отечественный стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (СТО БР ИББС-1.0-2006).
О целесообразности внедрения ISO/IEC 27001:2005 говорит и тот факт, что стандарт позволяет формализовать и структурировать процессы управления безопасностью компании по следующим направлениям:
- Политика безопасности компании.
- Организация внутренних активов и ресурсов компании.
- Защита персонала и снижение внутренних угроз компании.
- Физическая безопасность и безопасность окружающей среды.
- Управление средствами связи и эксплуатацией оборудования.
- Управление и контроль доступа.
- Разработка и обслуживание аппаратно-программных систем.
- Управление непрерывностью бизнес-процессов в компании.
- Соблюдение правовых норм по безопасности.
Внедрение данного стандарта целесообразно осуществлять в несколько этапов:
- Выбор консалтинговой компании. Хотелось бы подчеркнуть, что консалтинговая компания может привлекаться, как для проведения аудита на первом этапе, так и для работ, связанных с построением системы ИБ на последующих этапах.
- Проведение аудита на соответствие основным положениям ISO / IEC 27001:2005.
- Разработка нормативно-правовых и организационно-распорядительных документов.
- Создание или совершенствование системы управления информационной безопасностью компании.
- Сертификация организации в BSI Group и получение сертификата по ISO / IEC 27001:2005.
Наиболее ответственный этап – выбор консалтинговой компании, который определяет успех не только в получении сертификата BSI, но и успех дальнейшего развития бизнеса компании.
Для компании, которая будет выполнять аудит необходимо выполнение всех следующих базовых требований:
- Наличие у консалтинговой компании опыта аудита и реализации проектов.
- Наличие собственной комплексной методики аудита, которая бы включала в себя не только директивы ISO / IEC 27001:2005, но и была бы расширена за счет других стандартов.
- Наличие в компании сертифицированных BSI аудиторов.
- Наличие команды сертифицированных специалистов по разным направлениям сферы информационных технологий, входящих в группу аудиторов или аналитиков.
Следующим этапом является непосредственное проведение аудита компании на соответствие основным положениям ISO / IEC 27001:2005.
Основная цель аудита – объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании, и разработка рекомендаций по совершенствованию комплексной системы обеспечения информационной безопасности компании.
Основные задачи, которые решаются в ходе проведения аудиторских работ, являются:
- Анализ структуры и функциональных особенностей, используемых информационных технологий автоматизированной системы сбора, обработки, передачи и хранения информации.
- Анализ и оценка информационных рисков компании, основных путей их реализации (несанкционированных воздействий на подсистемы корпоративной информационной системы (КИС)), их категорирование по степени критичности, составление модели нарушителя и оценка возможного ущерба от реализации угроз.
- Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации.
В большинстве случаев информационное обследование корпоративной информационной системы на соответствие ISO / IEC 27001:2005 включает в себя четыре основных этапа:
Этап 1. Планирование и подготовка планов мероприятий. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания КИС компании, планируемых к использованию механизмов и средств обеспечения информационной безопасности. Разработка, согласование и утверждение планов мероприятий по аудиту.
Этап 2. Проверка на соответствие ISO / IEC 27001:2005. Этот этап включает: проведение анкетирования и интервьюирования сотрудников компании, анализ организационно-распорядительных и нормативных документов и анализ информационной безопасности на соответствие ISO / IEC 27001:2005.
Этап 3. Оценка информационных рисков. Аналитический и инструментальный анализ корпоративной локальной вычислительной сети и информационных ресурсов компании. Проведение консультаций с ИТ-специалистами организации, оценка соответствия фактического уровня безопасности информации и анализ рисков на соответствие ISO / IEC 27001:2005.
Этап 4. Формирование отчетности. Систематизация результатов обследования и определение оптимальной стратегии защиты информационных ресурсов организации. Разработка плана защиты корпоративной системы информационной безопасности. Разработка рекомендаций по совершенствованию системы информационной безопасности компании в соответствие требованиям международного стандарта ISO / IEC 27001:2005.
После проведения аудиторских работ компания (заказчик) приступает к совершенствованию системы управления информационной безопасностью и по ее завершению подает заявку на сертификацию. После принятия к рассмотрению заявки BSI присылает специалистов и изучает документацию с целью выявления слабых мест в системе управления, выдает рекомендации их устранению, а затем проводит сертификационный аудит в организации и выносит рекомендации. При успешном завершении аудита выдается сертификат сроком на 3 года.
Какие преимущества дает внедрение данного стандарта?
Для структурных подразделений компании, таких как подразделения информационных технологий и службы безопасности это:
- систематизация процессов обеспечения ИБ;
- расстановка приоритетов компании в сфере ИБ;
- соответствие системы управления ИБ существующим рискам;
- оптимизация процессов и ресурсов;
- повышение эффективности функционирования системы информационной безопасности и защищенности информационных систем.
Для бизнеса, в целом, можно выделить следующие преимущества сертификации:
- Доверие и уверенность в вас, как к партнеру, так и к клиенту.
- Снижение рисков от утечки информации.
- Соответствие стандарту подчеркивает прозрачность и чистоту бизнеса перед законом.
- Повышение уровня и квалификации персонала.
- Упрощение процедуры выхода на рынок первичных публичных размещений акций (IPO) и международные рынки. Сертификат BSI подтверждает выполнение компанией основных требований Акта Сарбэйнса-Оксли (Sarbanes-Oxley) к управлению информационной безопасностью.
- Международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках;
- Повышение доходности и капитализации бизнеса в целом.
Конференция АКБ 2006.