• технический регламент таможенного союза
    о безопасности высокоскоростного железнодорожного транспорта
  • технический регламент таможенного союза
    о безопасности низковольтного оборудования
  • технический регламент таможенного союза
    о безопасности упаковки
  • технический регламент таможенного союза
    о безопасности пиротехнических изделий
  • технический регламент таможенного союза
    о безопасности продукции, предназначенной для детей и подростков
  • технический регламент таможенного союза
    о безопасности игрушек
  • технический регламент таможенного союза
    о безопасности парфюмерно-косметической продукции
  • технический регламент таможенного союза
    о требованиях к автомобильному и авиационному бензину, дизельному и судовому топливу
  • технический регламент таможенного союза
    о безопасности зерна
  • технический регламент таможенного союза
    о безопасности средств индивидуальной защиты
  • технический регламент таможенного союза
    о безопасности пищевой продукции
  • технический регламент таможенного союза
    пищевая продукция в части ее маркировки
  • технический регламент таможенного союза
    технический регламент на соковую продукцию из фруктов и овощей
  • технический регламент таможенного союза
    технический регламент на масложировую продукцию
  • технический регламент таможенного союза
    о безопасности отдельных видов специализированной пищевой продукции, в том числе диетического лечебного и диетического профилактического питания
  • технический регламент таможенного союза
    электромагнитная совместимость
  • технический регламент таможенного союза
    о безопасности машин и оборудования
  • технический регламент таможенного союза
    о безопасности аппаратов, работающих на газообразном топливе
  • технический регламент таможенного союза
    о безопасности продукции легкой промышленности
  • технический регламент таможенного союза
    о безопасности колесных транспортных средств
  • технический регламент таможенного союза
    о безопасности продукции во взрывоопасных средах
  • технический регламент таможенного союза
    о безопасности мебельной продукции
  • технический регламент таможенного союза
    о безопасности маломерных судов
  • технический регламент таможенного союза
    о безопасности автомобильных дорог
  • технический регламент таможенного союза
    о безопасности инфраструктуры железнодорожного транспорта

Сертификация по стандарту ISO 27001

Сертификация по стандарту ISO 27001
Сертификация служит весомым аргументом в надежности защиты данных.
     На­деж­ное управ­ле­ние без­опас­но­стью ста­но­вит­ся все более вес­ким ар­гу­мен­том при про­да­же про­вай­де­ра­ми услуг ИТ. Од­на­ко и пред­при­я­ти­ям дру­гих на­прав­ле­ний биз­не­са, вы­нуж­ден­ным за­ни­мать­ся управ­ле­ни­ем важ­ны­ми дан­ны­ми, при­хо­дит­ся ре­шать эту за­да­чу. Во всем мире сер­ти­фи­ка­ция си­сте­мы управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью в со­от­вет­ствии со стан­дар­том ISO 27001 слу­жит ве­со­мым ар­гу­мен­том для убеж­де­ния кли­ен­тов и де­ло­вых парт­не­ров в том, что пе­ре­да­ва­е­мые ими дан­ные на­хо­дят­ся под на­деж­ной за­щи­той.
     Для по­лу­че­ния сер­ти­фи­ка­та в со­от­вет­ствии со стан­дар­том ISO 27001 пред­при­я­тие долж­но сна­ча­ла вве­сти в экс­плу­а­та­цию си­сте­му управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью (Information Security Management System, ISMS), ко­то­рая в любой мо­мент вре­ме­ни га­ран­ти­ро­ва­ла бы на­деж­ность, го­тов­ность и це­лост­ность ин­фор­ма­ции на со­от­вет­ству­ю­щем уровне. В первую оче­редь для этого сле­ду­ет опре­де­лить необ­хо­ди­мые меры обес­пе­че­ния без­опас­но­сти.
     Для обес­пе­че­ния кон­фи­ден­ци­аль­но­сти ин­фор­ма­ции при­сва­и­ва­ет­ся одна из при­ня­тых сте­пе­ней сек­рет­но­сти: ин­фор­ма­ция может быть об­ще­до­ступ­ной, для внут­рен­не­го поль­зо­ва­ния, сек­рет­ной или со­вер­шен­но сек­рет­ной. С об­ще­до­ступ­ны­ми дан­ны­ми на сер­ти­фи­ци­ро­ван­ном пред­при­я­тии об­ра­ща­ют­ся по-раз­но­му неже­ли с со­вер­шен­но сек­рет­ны­ми. Пра­ви­ла уста­нав­ли­ва­ют­ся самим пред­при­я­ти­ем в со­от­вет­ствии с ука­зан­ны­ми в стан­дар­те ISO 27001 усло­ви­я­ми. Все при­ни­ма­е­мые меры вы­те­ка­ют одна из дру­гой. Таким об­ра­зом, уро­вень без­опас­но­сти опре­де­ля­ет­ся самым сла­бым зве­ном цепи.
КОН­ФИ­ДЕН­ЦИ­АЛЬ­НОСТЬ В СЕТИ И НА МЕСТЕ
     Чтобы обес­пе­чить мак­си­маль­ный уро­вень кон­фи­ден­ци­аль­но­сти, вы­чис­ли­тель­ные цен­тры, си­сте­мы и сети долж­ны быть за­щи­ще­ны в оди­на­ко­вой мере: дан­ные пе­ре­да­ют­ся толь­ко в на­деж­но за­шиф­ро­ван­ном виде по так на­зы­ва­е­мым вир­ту­аль­ным част­ным сетям (Virtual Private Networks, VPN), бранд­мау­э­ры за­щи­ща­ют от непра­во­мер­но­го до­сту­па все ком­пью­те­ры в груп­пе, стан­дарт­ные при­ло­же­ния ре­гу­ляр­но про­ве­ря­ют­ся на на­ли­чие всех из­вест­ных бре­шей. Кроме того, фи­зи­че­ский до­ступ к ИТ под­ле­жит стро­го­му до­ку­мен­ти­ро­ва­нию, на­при­мер, в рам­ках про­пуск­ной си­сте­мы в зда­ние и по­ме­ще­ния. При входе в вы­чис­ли­тель­ный центр обыч­но про­во­дит­ся до­пол­ни­тель­ная, более жест­кая про­вер­ка.
     При от­сут­ствии ка­ких-ли­бо иных до­го­во­рен­но­стей все за­про­сы кли­ен­тов от­но­сят­ся к наи­выс­шей сте­пе­ни сек­рет­но­сти. От­вет­ствен­ность и вос­при­им­чи­вость всех участ­ни­ков яв­ля­ют­ся глав­ным усло­ви­ем вы­пол­не­ния этого тре­бо­ва­ния, для чего необ­хо­дим вы­со­кий уро­вень ком­пе­тен­ции. Со­труд­ни­ки сер­вис­но­го про­вай­де­ра Easynet, к при­ме­ру, ре­гу­ляр­но по­се­ща­ют спе­ци­аль­ные учеб­ные курсы, где обу­ча­ют­ся пра­виль­но­му по­ни­ма­нию цен­но­сти ин­фор­ма­ции.
ГО­ТОВ­НОСТЬ ЗА­ВИ­СИТ ОТ КА­ЧЕ­СТВА ИНФРАСТРУКТУРЫ
     Вто­рым из­ме­ре­ни­ем без­опас­но­сти, на­ря­ду с кон­фи­ден­ци­аль­но­стью, яв­ля­ет­ся го­тов­ность дан­ных. В первую оче­редь она опре­де­ля­ет­ся про­из­во­ди­тель­но­стью сети и струк­ту­рой си­сте­мы, ко­то­рые долж­ны без про­блем справ­лять­ся с пи­ко­вы­ми на­груз­ка­ми. Нема­лое зна­че­ние имеют мно­го­крат­ная из­бы­точ­ность сер­ве­ров и ка­на­лов пе­ре­да­чи, а также неза­ви­си­мая си­сте­ма по­да­чи пи­та­ния, ак­ти­ви­зи­ру­ю­ща­я­ся в слу­чае от­ка­за ос­нов­ной си­сте­мы энер­го­снаб­же­ния вы­чис­ли­тель­но­го цен­тра. Си­сте­мы опо­ве­ще­ния для сер­ве­ров и зда­ния, ука­зы­ва­ю­щие на па­де­ние про­из­во­ди­тель­но­сти и ава­рий­ные си­ту­а­ции в ин­фра­струк­ту­ре, или свое­вре­мен­но опо­ве­ща­ю­щие о за­топ­ле­нии, тоже по­вы­ша­ют го­тов­ность дан­ных.
ЦЕ­ЛОСТ­НОСТЬ ИН­ФОР­МА­ЦИИ ТРЕ­БУ­ЕТ ЗАЩИТЫ
     Це­лост­ность ин­фор­ма­ции — тре­тий ком­по­нент на­деж­ной си­сте­мы управ­ле­ния ин­фор­ма­ци­ей, он столь же важен, как кон­фи­ден­ци­аль­ность и го­тов­ность. В первую оче­редь необ­хо­ди­мы пол­но­цен­ные си­сте­мы хра­не­ния дан­ных и эф­фек­тив­ные кон­цеп­ции ре­зерв­но­го ко­пи­ро­ва­ния. Чаще всего при­ме­ня­ет­ся еже­не­дель­ное ре­зерв­ное ко­пи­ро­ва­ние всех дан­ных при еже­днев­ном со­хра­не­нии вне­сен­ных из­ме­не­ний. В слу­чае осо­бых тре­бо­ва­ний, предъ­яв­ля­е­мых к без­опас­но­сти, можно раз­ра­бо­тать ин­ди­ви­ду­аль­ные ре­ше­ния для кон­крет­ных кли­ен­тов.
ПО­СТО­ЯН­НЫЙ КОН­ТРОЛЬ КАЧЕСТВА
     Обес­пе­че­ни­ем кон­фи­ден­ци­аль­но­сти, го­тов­но­сти и це­лост­но­сти дан­ных в со­от­вет­ствии с воз­мож­но­стя­ми со­вре­мен­ной тех­ни­ки ра­бо­та не за­кан­чи­ва­ет­ся: управ­ле­ние без­опас­но­стью за­клю­ча­ет­ся не в од­но­крат­ном при­ня­тии мер, а в по­сто­ян­ном обес­пе­че­нии и улуч­ше­нии ка­че­ства. Это до­сти­га­ет­ся бла­го­да­ря циклу из об­ла­сти управ­ле­ния ка­че­ством — пла­ни­ро­ва­ние-ре­а­ли­за­ция-про­вер­ка-дей­ствие (Plan-Do-Check-Act, PDCA). Он из­ве­стен также под на­зва­ни­ем цикла Де­мин­га (см. Ри­су­нок 1). Пла­ни­ро­ва­ние и ре­а­ли­за­ция мер обес­пе­че­ния без­опас­но­сти со­от­вет­ству­ют фазам Plan и Do. За ними сле­ду­ет про­вер­ка тре­бу­е­мых мер без­опас­но­сти, к при­ме­ру, путем внут­рен­не­го кон­тро­ля или ауди­та, в про­цес­се ко­то­ро­го вы­яв­ля­ют­ся воз­мож­но­сти для улуч­ше­ния, ре­а­ли­зу­е­мые уже на сле­ду­ю­щем этапе. Для этого вновь по­тре­бу­ют­ся пла­ни­ро­ва­ние, ре­а­ли­за­ция, про­вер­ка и ре­ак­ция — на­чи­на­ет­ся новый цикл. Таким об­ра­зом, цикл Де­мин­га яв­ля­ет­ся важ­ной со­став­ной ча­стью си­сте­мы управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью. Его фазы можно про­сле­дить во всех об­ла­стях управ­ле­ния без­опас­но­стью.
 
     Если си­сте­ма управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью долж­на быть сер­ти­фи­ци­ро­ва­на в со­от­вет­ствии со стан­дар­том ISO 27001, то об­на­ру­жен­ные в цикле PDCA риски сле­ду­ет устра­нить с при­вле­че­ни­ем стан­дарт­ных мер. Они опи­сы­ва­ют­ся в стан­дар­те ISO 17799, ко­то­рый в ско­ром вре­ме­ни дол­жен за­ме­нить ISO 27002. В нем со­дер­жат­ся 134 так на­зы­ва­е­мые «про­вер­ки», со­от­вет­ству­ю­щие пред­при­ня­тым ранее дей­стви­ям по обес­пе­че­нию без­опас­но­сти. Их ре­а­ли­за­цию и при­ня­тие до­пол­ни­тель­ных, са­мо­сто­я­тель­но раз­ра­бо­тан­ных мер пред­при­я­тие под­твер­жда­ет «За­яв­ле­ни­ем о при­ме­ни­мо­сти». Оно опре­де­ля­ет, какие риски какой про­вер­ке под­ле­жат. Дей­ствен­ность при­ня­тых мер вы­яс­ня­ет­ся с по­мо­щью так на­зы­ва­е­мых «из­ме­ре­ний эф­фек­тив­но­сти». До­ку­мен­та­ция по про­ве­ден­ным из­ме­ре­ни­ям слу­жит в ка­че­стве важ­но­го ис­точ­ни­ка ин­фор­ма­ции для по­сле­ду­ю­щей сер­ти­фи­ка­ции.
ПРО­ЦЕСС СЕР­ТИ­ФИ­КА­ЦИИ В ДЕТАЛЯХ
     После со­зда­ния си­сте­мы управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью пред­при­я­тие может по­дать за­яв­ле­ние на сер­ти­фи­ка­цию в со­от­вет­ствии со стан­дар­том ISO 27001 «Управ­ле­ние ин­фор­ма­ци­он­ной без­опас­но­стью —спе­ци­фи­ка­ция с ру­ко­вод­ством к при­ме­не­нию». Во всем мире этот сер­ти­фи­кат счи­та­ет­ся под­твер­жде­ни­ем того, что его об­ла­да­тель ком­пе­тент­но ре­а­ли­зо­вал си­сте­му управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью, и, таким об­ра­зом, для сер­вис­ных про­вай­де­ров он слу­жит мощ­ным ар­гу­мен­том в деле при­вле­че­ния кли­ен­тов, для ко­то­рых очень важен вы­со­кий уро­вень без­опас­но­сти. В неко­то­рых от­рас­лях сер­ти­фи­ци­ро­ван­ная си­сте­ма управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью со­став­ля­ет ос­но­ву биз­не­са: к при­ме­ру, по­сред­ством сер­ти­фи­ка­ции ин­фор­ма­ци­он­ной си­сте­мы ме­ди­цин­ское учре­жде­ние сна­ча­ла долж­но до­ка­зать свою спо­соб­ность за­щи­щать дан­ные о па­ци­ен­тах, и лишь после этого ему будет раз­ре­ше­но за­но­сить дан­ные в элек­трон­ные ме­ди­цин­ские карты.
БЕЗ ПРО­ВЕР­КИ НЕТ СЕРТИФИКАТА
     Вне за­ви­си­мо­сти от того, обя­за­тель­но по­лу­че­ние сер­ти­фи­ка­та или лишь же­ла­тель­но, путь к под­твер­жде­нию уров­ня без­опас­но­сти лежит через аудит, в про­цес­се ко­то­ро­го про­из­во­дит­ся оцен­ка ин­фор­ма­ци­он­ной си­сте­мы пред­при­я­тия. Для этого ак­кре­ди­то­ван­ные цен­тры сер­ти­фи­ка­ции от­прав­ля­ют своих пред­ста­ви­те­лей на дан­ное пред­при­я­тие. Ауди­то­ры про­ве­ря­ют ин­фор­ма­ци­он­ные си­сте­мы, уро­вень их вза­и­мо­дей­ствия с про­из­вод­ствен­но-эко­но­ми­че­ски­ми про­цес­са­ми, а также со­блю­де­ние пра­во­вых норм, к при­ме­ру, пред­пи­са­ний по за­щи­те дан­ных.
     Столь же вы­со­ки тре­бо­ва­ния к без­упреч­но­сти самих ауди­то­ров. Они долж­ны со­блю­дать стро­гую сек­рет­ность, по­сколь­ку по­лу­ча­ют по­дроб­ную ин­фор­ма­цию о струк­ту­ре пред­при­я­тия. Со­став­ле­ние по­дроб­ной до­ку­мен­та­ции по ре­зуль­та­там ауди­та га­ран­ти­ру­ет, что ра­бо­ту экс­пер­тов можно будет про­ве­рить в любой мо­мент. Для обес­пе­че­ния их неза­ви­си­мо­сти и объ­ек­тив­но­сти можно поль­зо­вать­ся услу­га­ми толь­ко таких про­вай­де­ров, ко­то­рые ранее не ока­зы­ва­ли за­каз­чи­ку кон­суль­та­ци­он­ных услуг.
     После вы­бо­ра про­ве­ря­ю­щих на­чи­на­ет­ся сер­ти­фи­ка­ци­он­ный аудит. Обыч­но он со­сто­ит из несколь­ких фаз. В первую оче­редь под­твер­жда­ет­ся, что си­сте­ма управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью ре­а­ли­зо­ва­на.
Пер­вым и наи­бо­лее важ­ным до­ку­мен­том яв­ля­ет­ся по­ли­ти­ка без­опас­но­сти пред­при­я­тия. В ней опре­де­ля­ют­ся цели и гра­ни­цы си­сте­мы управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью. Как эти цели до­сти­га­ют­ся, по­ка­зы­ва­ет даль­ней­шая до­ку­мен­та­ция. В ней да­ет­ся опи­са­ние пред­при­ни­ма­е­мых мер, их мо­ни­то­рин­га и кон­тро­ля, а также ва­ри­ан­ты улуч­ше­ния си­сте­мы обес­пе­че­ния без­опас­но­сти. После рас­смот­ре­ния этих до­ку­мен­тов про­ве­ря­ет­ся, на­сколь­ко пра­виль­но была осу­ществ­ле­на ре­а­ли­за­ция.
     По­сколь­ку ко­ли­че­ство мер обыч­но слиш­ком ве­ли­ко, чтобы их можно было пол­но­цен­но про­кон­тро­ли­ро­вать, ауди­то­ры, как пра­ви­ло, огра­ни­чи­ва­ют­ся вы­бо­роч­ны­ми про­вер­ка­ми. Когда ре­зуль­тат по­ло­жи­тель­ный, про­ве­ря­ю­щий дает раз­ре­ше­ние на сер­ти­фи­ка­цию. При на­ли­чии пре­тен­зий пред­при­я­тию предо­став­ля­ет­ся воз­мож­ность вне­сти ис­прав­ле­ния.
Сер­ти­фи­кат по стан­дар­ту ISO 27001 дей­стви­те­лен в те­че­ние трех лет и под­ле­жит еже­год­ной про­вер­ке в про­цес­се так на­зы­ва­е­мых «ре­гу­ляр­ных оце­ноч­ных ви­зи­тов». Если в ходе одной из них вы­яс­нит­ся, что си­сте­ма управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью не функ­ци­о­ни­ру­ет, сер­ти­фи­кат может быть ото­зван. Тре­бо­ва­ния «оце­ноч­ных ви­зи­тов» со­от­вет­ству­ют тре­бо­ва­ни­ям тра­ди­ци­он­но­го сер­ти­фи­ка­ци­он­но­го ауди­та, но из­держ­ки уже не столь вы­со­ки.
УПРАВ­ЛЕ­НИЕ БЕЗ­ОПАС­НО­СТЬЮ В ПО­ВСЕ­ДНЕВ­НОЙ РАБОТЕ
     На­ря­ду с соб­ствен­ны­ми со­труд­ни­ка­ми, от­вет­ствен­ны­ми за без­опас­ность, мно­гие пред­при­я­тия поль­зу­ют­ся услу­га­ми при­гла­шен­ных спе­ци­а­ли­стов, ко­то­рые спо­соб­ны непред­взя­то оце­нить все про­цес­сы. Это могут быть неза­ви­си­мые про­вай­де­ры услуг, а также со­труд­ни­ки из дру­гих фи­ли­а­лов. Меж­ду­на­род­ные пред­при­я­тия при­вле­ка­ют для такой ра­бо­ты своих кол­лег из дру­гих стран, ко­то­рые могут ква­ли­фи­ци­ро­ван­но оце­нить про­цес­сы, по­сколь­ку ISO 27001 при­нят во всем мире. Неред­ко по­доб­ные ауди­то­ры вос­при­ни­ма­ют си­ту­а­цию с неожи­дан­ной точки зре­ния и часто де­ла­ют цен­ные за­ме­ча­ния. При вы­яв­ле­нии воз­мож­но­стей для оп­ти­ми­за­ции ру­ко­во­ди­те­ли пред­при­я­тия предо­став­ля­ют ре­сур­сы для при­ня­тия необ­хо­ди­мых мер.
НА­ЦИ­О­НАЛЬ­НЫЕ И МЕЖ­ДУ­НА­РОД­НЫЕ СЕРТИФИКАТЫ
     Хотя все кон­цеп­ции обес­пе­че­ния без­опас­но­сти оди­на­ко­во на­це­ле­ны на обес­пе­че­ние кон­фи­ден­ци­аль­но­сти, го­тов­но­сти и це­лост­но­сти дан­ных, между раз­ны­ми сер­ти­фи­ка­та­ми су­ще­ству­ет опре­де­лен­ная кон­ку­рен­ция. ISO 27001, к при­ме­ру, ведет про­ис­хож­де­ние от бри­тан­ско­го стан­дар­та обес­пе­че­ния без­опас­но­сти.
     Меж­ду­на­род­ная ор­га­ни­за­ция по стан­дар­ти­за­ции (International Organisation for Standartisation, ISO) при­ня­ла его в 2000 г. под но­ме­ра­ми ISO 27001 и ISO 17799, а в 2005 г. оба были ос­но­ва­тель­но пе­ре­ра­бо­та­ны.
     Эта норма стала стан­дар­том на меж­ду­на­род­ном уровне. В дан­ный мо­мент в со­от­вет­ствии с ISO 27001 сер­ти­фи­ци­ро­ва­но около че­ты­рех тысяч си­стем управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью. Од­на­ко есть еще одно под­твер­жде­ние без­опас­но­сти: рас­ши­рен­ная сер­ти­фи­ка­ция ISO 27001 в со­от­вет­ствии с За­ко­ном о ба­зо­вой за­щи­те Фе­де­раль­но­го агент­ства без­опас­но­сти ин­фор­ма­ци­он­ных тех­но­ло­гий (BSI). Под­хо­ды ISO и BSI сов­ме­сти­мы, при­чем BSI на ба­зо­вом уровне преду­смат­ри­ва­ет более стро­гие ука­за­ния, чем меж­ду­на­род­ный стан­дарт. Зато ISO не де­ла­ет раз­ли­чия между рис­ка­ми и тре­бу­ет уже на ба­зо­вом уровне их глу­бо­ко­го ана­ли­за.
БОЛЬ­ШЕ, ЧЕМ УРО­ВЕНЬ БА­ЗО­ВОЙ ЗАЩИТЫ
     За пре­де­ла­ми ба­зо­вой за­щи­ты оба стан­дар­та га­ран­ти­ру­ют без­опас­ность. Таким об­ра­зом, по­яв­ля­ет­ся воз­мож­ность вы­бо­ра сер­ти­фи­ка­та, ко­то­рый мак­си­маль­но точно от­ра­жа­ет фи­ло­со­фию ком­па­нии. Этот выбор имеет и прак­ти­че­ские по­след­ствия: Easynet, бу­дучи меж­ду­на­род­ным про­вай­де­ром услуг, пред­по­чла, к при­ме­ру, дей­ству­ю­щий во всем мире стан­дарт ISO 27001, чтобы от­ве­чать тре­бо­ва­ни­ям кли­ен­тов из раз­ных стран.
 
     Прежде всего, стоит сказать пару слов о самом стандарте, потому что без понимания того, что он собой представляет, дальнейший разговор теряет всякий смысл.
В интернете легко найти определение, которое говорит, что данный стандарт описывает требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). СМИБ ‑ часть общей системы менеджмента, отвечающая за обеспечение информационной безопасности и оценку рисков в организации.
     Задача СМИБ гораздо шире, чем может показаться на первый взгляд. Поскольку она призвана обеспечить комплексную безопасность и доступность информационных активов, то в список задач входит и управление реестром информационных активов, и создание резервных копий различных документов, и обеспечение физической безопасности оборудования… Словом, тем организациям, в которых под информационной безопасностью понимается исключительно контроль действий пользователей, предстоит приложить немало труда для того, чтобы построить собственную СМИБ.
     СМИБ может вполне эффективно работать, будучи построенной и без следования каким бы то ни было стандартам, однако не всякому «безопаснику» не во всякой компании это под силу. В то же время отраслевые стандарты объединяют уже накопленный опыт в сфере управления информационной безопасностью с хорошо зарекомендовавшими себя практиками менеджмента, которые подробно расписаны в других стандартах серии ISO (самый популярный из них – ISO-9001). Пожалуй, именно в этом главная ценность ISO-27001: благодаря согласованности с другими стандартами группы ISO, он позволяет органично вписать управление информационной безопасностью в другие бизнес-процессы, не ущемляя ни права пользователей, ни возможности сотрудников отдела информационной безопасности.
     Практика показывает, что те организации, где уже работает стандарт ISO-9001, смогут и ISO-27001 внедрить с гораздо меньшим количеством проблем и нестыковок. Поэтому, если у вас уже пройдена сертификация по ISO 9001, то и родственного ему стандарта в области информационной безопасности бояться нечего.
     Впрочем, даже если компания уже сертифицирована по ISO-9001, сертификация по ISO-27001 является достаточно трудоёмким и непростым процессом, а потому нужно представлять себе, какие преимущества она может дать организации, которая на неё решится. На сайтах и в рекламных брошюрах тех консалтеров, которые оказывают услуги по сертификации, можно найти красочное перечисление всего того, что должна дать сертификация отважившейся на неё компании. Конечно, далеко не все из радужных обещаний оказываются воплощенными на практике, но, тем не менее, ряд плюсов сертификация компании всё-таки даёт.
Первое и, зачастую, наиболее весомое преимущество – имиджевое. Пройдя сертификацию, банк может повысить привлекательность в глазах корпоративных клиентов и партнеров, которые внимательно относятся к вопросам обеспечения информационной безопасности.
     Впрочем, как говорится в рекламе одного достаточно известного напитка, имидж – ничто. Особенно в тех случаях, когда с безопасностью действительно есть заметные невооруженным глазом проблемы. Поэтому второе по счету (а по важности, пожалуй, первое) преимущество прохождения сертификации по ISO-27001 – это улучшение ситуации с обеспечением информационной безопасности в организации. К сожалению, зачастую руководители не понимают того факта, что в перспективе это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности. Конечно, банковской сфере в этом плане, можно сказать, повезло больше, чем, например, промышленности, но и в ней часто можно встретить непонимание руководителями далеко идущих последствий обеспечения или необеспечения информационной безопасности в их компаниях.
Третьим наиболее значимым преимуществом внедрения ISO-27001 является повышение прозрачности работы всех отделов для высшего руководства компании. Это касается и отдела информационной безопасности, деятельность которого для многих руководителей сродни какому-то непонятному магическому ритуалу.
     Конечно, на этих трёх пунктах список тех плюсов, которые может получить организация, пройдя сертификацию по ISO-27001, не заканчивается. Для каждого банка, страховой компании, лизинговой компании или другой финансовой организации эти преимущества могут быть своими, в зависимости от текущего положения дел в обеспечении информационной безопасности и от того, какие задачи ставит перед собой отдел информационной безопасности при прохождении сертификации.
     Принципиальным при прохождении сертификации является именно вопрос постановки цели: для чего требуется прохождение сертификации – для соответствия формальным требованиям, записанным в стандарте, или для реального повышения уровня защищенности от информационных угроз? Понятно, что при выполнении «от корки до корки» всех требований стандарта получится повысить и уровень защищенности, но цена за это может оказаться достаточно высокой. Поэтому необходимо тщательно проанализировать стандарт и то, насколько сложно его будет применить при текущей организации бизнес-процессов в вашей компании. Вполне может оказаться, что нет смысла использовать весь стандарт целиком – возможно, рациональнее будет постараться применить в ваших условиях только отдельные его части, либо же вовсе нанять опытного и грамотного «безопасника», который сможет реорганизовать работу отдела информационной безопасности «не по бумажке».
     Насколько трудным и долгим окажется внедрение стандарта? Заранее сказать сложно. Автору знаком пример организации (работающей, правда, не в банковской сфере), которая посчитала, что у неё на всё про всё уйдет около двух месяцев, в то время как консалтеры, помогавшие во внедрении стандарта, оценили общий срок в полгода. В итоге, правыми не оказались ни те, ни другие – вожделенный сертификат руководство компании смогло повесить на стену своего кабинета больше чем через год.
     В целом же можно констатировать, что внедрение стандарта ISO 27001 – довольно долгая процедура, продолжительность которой зависит от многих факторов: начального состояния ИБ в организации, готовности руководства и персонала к преобразованиям, величины компании, других внедренных стандартов (в частности, уже упоминавшегося ранее ISO 9001). Заранее сказать «среднюю температуру по больнице» в случае со сроками внедрения стандарта и прохождения сертификации нельзя, потому что есть очень много переменных факторов, от которых зависит этот срок.
Как показывает опыт многих организаций, решившихся на сертификацию, одним из самых трудных моментов является выстраивание у руководителей различных уровней «процессного мышления», почему, собственно говоря, и заметно ускоряется внедрение ISO-27001 в тех организациях, где уже успешно внедрен ISO-9001. Хотя, конечно, если внедрение стандартов – «инициатива снизу», то одним из серьезнейших препятствий может стать противодействие переменам со стороны высшего руководства компании. Впрочем, обычно для банковской сферы такое явление можно считать не слишком характерным.
     Приведение бизнес-процессов в соответствие с требованиями стандартов может оказаться менее трудоёмкой задачей, если на помощь приходят специалисты в этих вопросах – консалтинговые компании. Они могут и определить общую степень готовности организации к прохождению сертификации, и помочь на каждом из этапов движения к ней. Единственное, пожалуй, в чем они не могут помочь – это в определении того, насколько сертификация вам нужна в принципе, потому что сказать, что она не нужна для них, означает лишиться очередного достаточно выгодного клиента. Поэтому, прежде чем идти к консалтерам, нужно определиться с тем, что вы хотите получить в итоге, иначе можно потратить кучу денег на то, что окажется в итоге совершенно невостребованных и ненужным.
     К выбору консалтеров, которые будут помогать вам во внедрении ISO-27001, нужно подойти максимально тщательно. В противном случае можно и вовсе не дождаться сертификации. Само собой, стоит навести справки у тех, кто уже прибегал к их услугам.
     Несмотря на то, что услуги консалтинговой компании стоят, как правило, немало, будет ошибочным думать, что решение справиться собственными силами позволит вашей организации сэкономить. Тому, кто никогда не работал с международными стандартами в области менеджмента, довольно трудно сходу построить систему управления информационной безопасностью таким образом, чтобы она удовлетворила сертифицирующие организации. А каждая итерация с исправлением ошибок стоит денег. Кроме того, весьма сложно порой определить, какие именно риски наиболее существенны для организации, и отказаться от защиты, которая используется по привычке, а не по необходимости. А эта защита также стоит денег.
     Кстати, зачастую компании думают, что сертифицированная система управления информационной безопасностью будет обходиться им дороже, чем несертифицированная. Однако чаще расходы после сертификации, напротив, уменьшаются, благодаря тому, что организация концентрируется на существенных для неё рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.
     Это те основные моменты, которые следует знать о сертификации тому, кто что-то о ней слышал и начинает задумываться, но ещё не знает точно, чего ожидать и к чему стремиться. В Сети можно найти массу более подробных статей на данную тему, поэтому тем, кто заинтересовался, хочу пожелать успехов в дальнейших поисках.

Этот документ  вы можете заказать в компании "Эко-Стандарт" оставив заявку на сайте через форму обратной связи

Заказать документ
Задать вопрос
Обратная связь