Разделы

Безопасность

Управление безопасностью ведет на мировой рынок

В последнее десятилетие российская экономика динамично развивается, многие компании стремятся выйти на мировые рынки. Чтобы соответствовать международным стандартам, этим компаниям необходимо провести сертификацию по информационной безопасности. О том, какие конкурентные преимущества получает организация, внедрившая и зарегистрировавшая систему управления информационной безопасностью в соответствии с требованиями BS ISO/IEC 27001:2005 BS 7799-2:2005, рассказывают эксперты этого рынка – генеральный директор BSI в России Наталья Горобец и начальник отдела средств и методов защиты информации компании «Инфосистемы Джет» Борис Симис.

CNews: Почему в последнее время все чаще поднимается вопрос об управлении информационной безопасностью?

Борис Симис: В настоящее время налицо явный рост внимания общества к проблемам информационной безопасности. Большинство крупных компаний пытаются выйти на мировой рынок. Многие из них выставляют свои акции на международных биржах, работают с иностранными партнерами. Предприятиям именно этого сегмента наиболее важно соответствовать международным стандартам. С другой стороны, по мере зрелости компании отношение к информационной безопасности во многом меняется. На первых этапах руководство интересуют, прежде всего, меры защиты от самых очевидных угроз. С ростом компании, развитием ИТ-системы и расширением информационных ресурсов наблюдается тенденция, когда топ-менеджмент начинает относиться к информационной безопасности как к одному из инструментов управления, а принимаемые решения напрямую связаны с анализом рисков деятельности компании. Положительная сторона применения стандарта ISO 27001 состоит в том, что он охватывает все бизнес-процессы. Стоит отметить, что одним из факторов развития российского рынка ИБ стало умение не только компаний-заказчиков, но и системных интеграторов работать на уровне бизнес-моделей и бизнес-предложений, что, в конечном счете, означает переход с технического и программного уровня на уровень бизнес-подходов.

Борис Симис: Задачи управления современным предприятием и информационной безопасностью на предприятии усложняются с каждым днем
Борис Симис: Задачи управления современным предприятием и информационной безопасностью на предприятии усложняются с каждым днем

Задачи управления современным предприятием и информационной безопасностью на предприятии усложняются с каждым днем в результате все более интенсивного использования информационных технологий практически во всех сферах производственной деятельности. Многие компании стали увеличивать бюджеты, предназначенные для этих целей. Не так давно об управлении информационной безопасностью говорили только применительно к крупным организациям. Сейчас этот вопрос все больше смещается в сторону региональных информационных инфраструктур. Перед специализированными консалтинговыми фирмами ставится задача не просто внедрить некие средства (или некую систему) защиты, а построить процесс управления ИБ, понятный не только ИТ-руководству, но и топ-менеджменту организации-заказчика. Именно поэтому вопрос об управлении ИБ сегодня самый актуальный на этом рынке в нашей стране.

Наталья Горобец: В России наибольшее распространение получила первая часть известного британского стандарта BS 7799. Многие предприятия своими силами проводили аудит ИБ по первой части. Под словом «аудит» подразумевается своего рода диагностика, так как этот стандарт является неким набором необходимых рекомендаций, следуя которым можно построить систему управления информационной безопасностью. В основном этим занимались системные интеграторы, предлагающие обеспечение и аудит ИТ-ифраструктуры, security equipment и т.д.

CNews: Какие преимущества приобретает компания, получившая сертификат соответствия стандартам BS ISO/IEC 27001:2005 BS 7799-2:2005?

Наталья Горобец: Получив данный сертификат, компания подтверждает соответствие международному стандарту в одном из авторитетнейших органов по сертификации - BSI Management Systems. Как вы понимаете, для топ-менеджмента сертификат носит некий демонстративный характер. Иными словами, это декларация соответствия компании неким мировым стандартам, мировым уровням. Для некоторых предприятий, имеющих партнеров за рубежом, его наличие - основное преимущество, без которого невозможно успешное ведение бизнеса. Получение такого сертификата повышает стоимость бренда компании, особенно если речь идет о слиянии или покупке фирм – конечно, потенциальный собственник смотрит, какие рычаги используются для управления безопасностью.

С другой стороны, компания получает систему классификации информации, что делает более прозрачным управление предприятием. Как следствие - снижение и минимизация рисков и потерь, которые могут возникнуть в результате атак. Кроме всего прочего, этот стандарт ссылается на законодательную базу страны, и сертификат в России не будет выдан, если компания не соответствует российским законам.

Как уже упоминалось, BSI является органом по спецификации более 100 лет. Нашей компании принадлежат наиболее известные разработки и стандарты, в которых принимал участие ряд коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. Таким образом, стандарт BSI определяет консолидированный подход лучших мировых практик управления информационной безопасностью.

Борис Симис: После проведения работ по подготовке к проведению аудита на соответствие стандарту BS ISO/IEC 27001:2005 BS 7799-2:2005 большинство информационных ресурсов становятся наиболее понятными для менеджмента компании, выявляются основные угрозы безопасности для существующих бизнес-процессов. В целом система защиты ресурсов становится более прозрачной, так как к руководству стекаются консолидированные данные, дающие анализ ее эффективности. По этим параметрам можно видеть «проблемные» зоны всей системы в целом и ясно понять, на что необходимо выделить дополнительные ресурсы. Безусловно, это позволяет контролировать текущую ситуацию. Кроме того, в ходе аудита вырабатываются рекомендации по повышению уровня защищенности, противодействию обнаруженным угрозам и устранению недостатков в системе безопасности и управления.

Как RobotMIA запустила более 400 роботов в облаке Selectel
Маркет

Прохождение сертификации на соответствие стандарту позволит наглядно показать партнерам и клиентам компании, что ее руководство связывает свое будущее и дальнейшее развитие с эффективным управлением информационной безопасностью, что в большинстве случаев существенно поднимает рейтинг предприятия. Безусловно, вышеперечисленные мероприятия дают компании серьезное конкурентное преимущество на рынке.

CNews: Какие основные проблемы вы можете выделить в подходах к построению систем защиты информации в компаниях России?

Борис Симис: Повторюсь, что последние годы российский рынок информационной безопасности демонстрирует феноменальные темпы роста. Однако для построения качественной системы управления информационной безопасностью необходимо, чтобы в первую очередь эта проблема волновала руководство компании, которое принимает основные решения управления бизнесом. Если защитой информации занимаются только на уровне начальника отдела ИБ или начальника ИТ-отдела, то такая компания не построит полноценную систему безопасности. Поэтому нам, как консультантам, необходимо донести до наших заказчиков, какие конкурентные преимущества может им дать сертификация на соответствие стандарту ISO 27001. А как я уже говорил, наличие этого сертификата позволяет партнерам и клиентам компании убедиться в том, что система информационной безопасности построена в этой компании правильно и функционирует эффективно. Кроме того, множество фирм в самых различных странах мира применяют положения этого стандарта на добровольной основе. На мой взгляд, в ближайшем будущем большинство российских компаний убедятся в необходимости подтверждения эффективности управления информационной безопасностью собственных ИТ-систем посредством сертификации.

Стоит отметить еще одну общероссийскую проблему. Дело в том, что защита информационных активов любой организации имеет некоторые специфические особенности в связи с ограничениями, накладываемыми российской нормативной базой в области защиты информации. Поэтому необходимо адаптировать рекомендации, полученные в ходе аудита, к российским требованиям, только так можно обеспечить эффективную защиту в конкретной российской компании.

Наталья Горобец: Хотелось бы добавить, что возникают проблемы при построении систем управления ИБ, так как рынок консалтинговых услуг в России очень молодой, и далеко не все компании-консалтеры способны решать такие задачи.

Как вовремя находить уязвимости в программном обеспечении
безопасность

Многие специализированные фирмы прошли программу обучения, владеют необходимыми инструментами и подходами для ведения работ. Мы пытаемся избежать ситуации, когда у клиента создается ощущение, что система ИБ представляет собой некий пакет документов, при распечатке которого он уже получит всю систему. Быстрое и некачественное внедрение системы управления ИБ дискриминирует краеугольные понятия и требования стандарта. Сейчас мы, как орган по сертификации, активно проводим обучение консалтинговых фирм, чтобы предоставлять нашим клиентам услуги самого высокого качества.

Как аудитор по данному стандарту, я хочу добавить, что развитие рынка ИБ во многом завит от ментальности участников этого рынка и правильного восприятия клиентами требований. Все понимают под ИБ наличие каких-то средств, которые способны обеспечить защиту ресурсов. Но в реальности это во многом бизнес-решения, в основном – решения высшего руководства. Своего рода – методология управления информационной безопасностью предприятия. ISO 27001 - не технический стандарт, он не предписывает, что надо делать в той или иной ситуации. Это стандарт на систему управления процессом информационной безопасности. Помимо технических решений и рекомендаций, он охватывает такие важнейшие аспекты, как анализ со стороны руководства, постоянный обзор системы, обучение персонала, общая осведомленность сотрудников и так далее.