Управление безопасностью ведет на мировой рынок

18.01.2006

В последнее десятилетие российская экономика динамично развивается, многие компании стремятся выйти на мировые рынки. Чтобы соответствовать международным стандартам, этим компаниям необходимо провести сертификацию по информационной безопасности. О том, какие конкурентные преимущества получает организация, внедрившая и зарегистрировавшая систему управления информационной безопасностью в соответствии с требованиями BS ISO / IEC 27001:2005 (BS 7799-2:2005), рассказывают эксперты этого рынка - генеральный директор BSI в России Наталья Горобец и начальник отдела средств и методов защиты информации компании "Инфосистемы Джет" Борис Симис.

CNews : Почему в последнее время все чаще поднимается вопрос об управлении информационной безопасностью?

Борис Симис: В настоящее время налицо явный рост внимания общества к проблемам информационной безопасности. Большинство крупных компаний пытаются выйти на мировой рынок. Многие из них выставляют свои акции на международных биржах, работают с иностранными партнерами. Предприятиям именно этого сегмента наиболее важно соответствовать международным стандартам. С другой стороны, по мере зрелости компании отношение к информационной безопасности во многом меняется. На первых этапах руководство интересуют прежде всего меры защиты от самых очевидных угроз. С ростом компании, развитием ИТ-системы и расширением информационных ресурсов наблюдается тенденция, когда топ-менеджмент начинает относиться к информационной безопасности как к одному из инструментов управления, а принимаемые решения напрямую связаны с анализом рисков деятельности компании. Положительная сторона применения стандарта ISO 27001 состоит в том, что он охватывает все бизнес-процессы. Стоит отметить, что одним из факторов развития российского рынка ИБ стало умение не только компаний-заказчиков, но и системных интеграторов работать на уровне бизнес-моделей и бизнес-предложений, что, в конечном счете, означает переход с технического и программного уровня на уровень бизнес-подходов.

Задачи управления современным предприятием и информационной безопасностью на предприятии усложняются с каждым днем вследствие все более интенсивного использования информационных технологий практически во всех сферах производственной деятельности. Многие компании стали увеличивать бюджеты, предназначенные для этих целей. Не так давно об управлении информационной безопасностью говорили только применительно к крупным организациям. Сейчас этот вопрос все больше смещается в сторону региональных информационных инфраструктур. Перед специализированными консалтинговыми фирмами ставится задача не просто внедрить некие средства (или некую систему) защиты, а построить процесс управления ИБ, понятный не только ИТ-руководству, но и топ-менеджменту организации-заказчика. Именно поэтому вопрос об управлении ИБ сегодня самый актуальный на этом рынке в нашей стране.


Борис Симис, начальник отдела средств и методов защиты информации
компании "Инфосистемы Джет"

Наталья Горобец: В России наибольшее распространение получила первая часть известного британского стандарта BS 7799. Многие предприятия своими силами проводили аудит ИБ по первой части. Под словом "аудит" подразумевается своего рода диагностика, так как этот стандарт является неким набором необходимых рекомендаций, следуя которым можно построить систему управления информационной безопасностью. В основном этим занимались системные интеграторы, предлагающие обеспечение и аудит ИТ-ифраструктуры, security equipment и т.д.

CNews : Какие преимущества приобретает компания, получившая сертификат соответствия стандартам BS ISO/IEC 27001:2005 (BS 7799-2:2005)?

Наталья Горобец: Получив данный сертификат, компания подтверждает соответствие международному стандарту в одном из авторитетнейших органов по сертификации - BSI Management Systems . Как вы понимаете, для топ-менеджмента сертификат носит некий демонстративный характер. Иными словами, это декларация соответствия компании неким мировым стандартам, мировым уровням. Для некоторых предприятий, имеющих партнеров за рубежом, его наличие - основное преимущество, без которого невозможно успешное ведение бизнеса. Получение такого сертификата повышает стоимость бренда компании, особенно если речь идет о слиянии или покупке фирм - конечно, потенциальный собственник смотрит, какие рычаги используются для управления безопасностью.

С другой стороны, компания получает систему документации, классификации информации, а также прозрачность управления предприятием. Как следствие - снижение и минимизация рисков и потерь, которые могут возникнуть в результате атак. И, кроме всего прочего, этот стандарт ссылается на законодательную базу страны, и сертификат в России не будет выдан, если компания не соответствует российским законам.

Как уже упоминалось, BSI является органом по спецификации более 100 лет. Нашей компании принадлежат наиболее известные разработки и стандарты, в которых принимал участие ряд коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. Таким образом, стандарт BSI определяет консолидированный подход лучших мировых практик управления информационной безопасностью.

Борис Симис: После проведения работ по подготовке к проведению аудита на соответствие стандарту BS ISO/IEC 27001:2005 (BS 7799-2:2005) большинство информационных ресурсов становятся наиболее понятными для менеджмента компании, выявляются основные угрозы безопасности для существующих бизнес-процессов. В целом система защиты ресурсов становится более прозрачной, так как к руководству стекаются консолидированные данные, дающие анализ ее эффективности . По этим параметрам можно видеть "проблемные" зоны всей системы в целом и ясно понять, на что необходимо выделить дополнительные ресурсы. Безусловно, это позволяет контролировать текущую ситуацию. Кроме того, в ходе аудита вырабатываются рекомендации по повышению уровня защищенности, противодействию обнаруженным угрозам и устранению недостатков в системе безопасности и управления.

Прохождение сертификации на соответствие стандарту позволит наглядно показать партнерам и клиентам компании, что ее руководство связывает свое будущее и дальнейшее развитие с эффективным управлением информационной безопасностью, что в большинстве случаев существенно поднимает рейтинг предприятия. Безусловно, вышеперечисленные мероприятия дают компании серьезное конкурентное преимущество на рынке.

CNews : Какие основные проблемы вы можете выделить в подходах к построению систем защиты информации в компаниях России?

Борис Симис: Повторюсь, что последние годы российский рынок информационной безопасности демонстрирует феноменальные темпы роста. Однако для построения качественной системы управления информационной безопасностью необходимо, чтобы в первую очередь эта проблема волновала руководство компании, которое принимает основные решения управления бизнесом. Если защитой информации занимаются только на уровне начальника отдела ИБ или начальника ИТ-отдела, то такая компания не построит полноценную систему безопасности. Поэтому нам, как консультантам, необходимо донести до наших заказчиков, какие конкурентные преимущества может им дать сертификация на соответствие стандарту ISO 27001. А как я уже говорил, наличие этого сертификата позволяет партнерам и клиентам компании убедиться в том, что система информационной безопасности построена в этой компании правильно и функционирует эффективно. Кроме того, множество фирм в самых различных странах мира применяют положения этого стандарта на добровольной основе. На мой взгляд, в ближайшем будущем большинство российских компаний убедятся в необходимости подтверждения эффективности управления информационной безопасностью собственных ИТ-систем посредством сертификации.

Стоит отметить еще одну общероссийскую проблему. Дело в том, что защита информационных активов любой организации имеет некоторые специфические особенности в связи с ограничениями, накладываемыми российской нормативной базой в области защиты информации. Поэтому необходимо адаптировать рекомендации, полученные в ходе аудита, к российским требованиям, только так можно обеспечить эффективную защиту в конкретной российской компании.

Наталья Горобец: Хотелось бы добавить, что возникают проблемы при построении систем управления ИБ, так как рынок консалтинговых услуг в России очень молодой, и далеко не все компании-консалтеры способны решать такие задачи. Многие специализированные фирмы прошли программу обучения, владеют необходимыми инструментами и подходами для ведения работ. Мы пытаемся избежать ситуации, когда у клиента создается ощущение, что система ИБ представляет собой некий пакет документов, при распечатке которого он уже получит всю систему. Быстрое и некачественное внедрение системы управления ИБ дискриминирует краеугольные понятия и требования стандарта. Сейчас мы, как орган по сертификации, активно проводим обучение консалтинговых фирм, чтобы предоставлять нашим клиентам услуги самого высокого качества.

Как аудитор по данному стандарту, я хочу добавить, что развитие рынка ИБ во многом завит от ментальности участников этого рынка и правильного восприятия клиентами требований. Все понимают под ИБ наличие каких-то средств, которые способны обеспечить защиту ресурсов. Но в реальности это во многом бизнес-решения, в основном - решения высшего руководства. Это методология управления, управления информационной безопасностью. ISO 27001 это не технический стандарт, он не предписывает, что надо делать в той или иной ситуации. Это стандарт на систему управления процессом информационной безопасности. Помимо технических решений и рекомендаций, он охватывает такие важнейшие аспекты, как анализ со стороны руководства, постоянный обзор системы, обучение персонала, общая осведомленность сотрудников и так далее.

CNews : Каким образом компания может получить этот сертификат?

Борис Симис: Получение сертификата включает несколько этапов. Мы, как консультанты, выступаем на первой фазе и проводим обследование информационных ресурсов предприятия, находим уязвимости в их защите и несоответствия стандарту. В процессе работы мы выполняем анализ рисков, смотрим на все положения стандарта и только после этого вырабатываем оптимальное решение, каким образом перестроить информационные ресурсы организации, чтобы они соответствовали контрольным точкам стандарта. Стоит отметить, что подобные работы могут занять много времени, в зависимости от уровня развития компании. Например, если предприятие высокоразвитое и соответствует стандарту на 90%, то для проведения небольших доработок, потребуется незначительная часть времени. В других случаях может потребоваться достаточно большой объем работ на уровне всех процессов. В ходе обследования организуются советы высшего руководства компании и регулярные совещания по информационной безопасности, проводится анализ рисков с привлечением бизнес-руководства. После того как мы запустим все эти процессы, система управления информационной безопасности должна проработать минимум три месяца, и только тогда организация может подавать документы на сертификацию в аудиторскую организацию.

Наталья Горобец: На момент подачи заявки необходимо, чтобы организация внедрила систему управления ИБ либо самостоятельно, либо с помощью квалифицированного консультанта - партнера BSI . В нашей проверке мы, безусловно, хотели бы иметь дело с системами, которые уже подготовил к сертификации наш партнер, знакомый с нашей методологией.

Далее сертифицируемая компания подает запрос в BSI , и мы просим ее заполнить первичные документы, чтобы на основании этой информации подготовить коммерческое предложение, учитывающее все затраты на сертификацию и на ее поддержание. Сертификация - это не разовое мероприятие. Получив сертификат, вы должны его поддерживать. Он действителен в течение трех лет и подтверждается путем инспекционных проверок. В первичном основном предложении отражены все затраты клиента на трехгодичный срок и на дальнейшее поддержание сертификации. Далее, после согласования со всеми участниками процесса, назначаются даты аудита и команда аудиторов. В случае успешного прохождения компанией аудита, ведущий аудитор BSI составляет рекомендацию, и весь пакет документов направляется в наш головной офис, расположенный в Лондоне, где проводится валидация результатов и выпускается сертификат.

CNews : Расскажите о практических аспектах внедрения стандарта в реальную информационную систему. Какие возникают в связи с этим проблемы, каковы возможные пути их решения?

Наталья Горобец: Как я уже говорила, сейчас мы наблюдаем тенденцию к росту спроса на сертификацию. Проблемы, возникающие в процессе проведения работ, в основном связаны с системными моментами. Во многих случаях внедрения систем управления ИБ возникают сложности с мотивацией сотрудников, которые с трудом принимают новые подходы. Возникает проблема системной реализации, особенно в таких областях, как внутренний аудит, инструмент корректирующих и предупреждающих действий, анализ и мониторинг всей системы на предмет эффективности. Необходима не просто фиксация каких-то проблем, а анализ выявленных ошибок. На наш взгляд, система должна быть не просто устойчивой, она должна развиваться.

Еще одна фирма, начавшая процесс сертификации - ЛУКОЙЛ ИНФОРМ, дочерняя компания ЛУКОЙЛ. На сертификационный аудит компания планирует выйти в январе 2006 года.

Борис Симис: Я хотел бы заметить, что сейчас российские компании начали понимать, что сертификация становится эффективным инструментом для бизнеса, и запросы к нам, как к интеграторам, на консалтинговые услуги по подготовке к сертификации идут достаточно активно. Можно сказать, что за последние полгода на российском рынке ИБ наблюдается бум. С одной стороны, это результат просветительской деятельности. Но с другой стороны, многие развитые компании самостоятельно пришли к пониманию того, каким образом следует выстраивать систему управления предприятием. Кроме того, все больше и больше компаний понимают, что им необходимо иметь и применять международные стандарты, поскольку это формирует положительное мнение о фирме, что хорошо сказывается как на будущих слияниях, так и на имидже на рынке в целом.

CNews : Какие слабые места чаще всего выявляются в компаниях при подготовке к прохождению сертификации?

Наталья Горобец: Многие компании обладают очень хорошей технической подготовкой, но при этом недопонимают системные требования стандарта, такие как внутренний аудит, менеджмент инцидентов, анализ со стороны руководства с последующей инициацией корректирующих и предупреждающих действий. Это недопонимание приводит, как следствие, к невозможности эффективно отслеживать ситуацию. Это одно из наиболее слабых мест при прохождении сертификации.

Борис Симис: На мой взгляд, в отношении технических средств особых проблем не возникает. Слабые места проявляются на уровне процессов при анализе рисков, когда оцениваются угрозы и различные уязвимости, в дальнейшем разрабатывается комплекс контрмер, обеспечивающих высокий уровень защиты информационных ресурсов предприятия. По моему мнению, анализ рисков является необходимой фазой при разработке политики информационной безопасности, и использование современных методик позволит быстро и качественно провести этот процесс. Сегодня существуют разные методы проведения анализа рисков. В основном выбор зависит от уровня требований к режиму информационной безопасности, а также от характера воздействия угроз. Кроме того, если риски для коммерческой компании определены в формате очень крупных потерь, то это становится действительно сильным аргументом, который требует анализа всех рисков предприятия. Так как решения принимаются на уровне топ-менеджмента, то проведение такого анализа становится одним из самых сложных моментов при подготовке к сертификации. Безусловно, нам, как консультантам, необходимо уметь предложить компании-заказчику наиболее верное решение. На мой взгляд, это самый сложный, но, в тоже время, самый интересный и особенно необходимый этап работы с клиентом.

CNews : Какой компетенцией должна обладать компания, проводящая аудит на соответствие данному стандарту?

Наталья Горобец: Как уже упоминалось, данный стандарт был разработан Британским институтом Стандартов, который аккредитован в United Kindom Accreditation Services ( UKAS ) - одной из самых престижных схем по аккредитации, так как она предъявляет очень жесткие требования к аудиторам. Чтобы стать аудитором по BS 7799, необходимо пройти многостадийный профессиональный отбор. Во-первых, нужно иметь опыт работы в этой сфере (в области информационной безопасности) более пяти лет либо опыт работы в качестве разработчика программного обеспечения, то есть потенциальный аудитор должен хорошо понимать специфику. Далее, претендент должен стать полностью компетентным специалистом по этому стандарту, что включает в себя прохождение курса ведущего аудитора BSI и более двадцати рабочих дней стажировок под наблюдением специалистов. После этого вы получаете право проводить аудит, но только под наблюдением специалистов BSI . Как видно, компания BSI дорожит своей репутацией и строго контролирует компетентность исполнителей.

Борис Симис: Конечно, как консультанты, мы заинтересованы, чтобы орган, проводящий аудит, был наиболее компетентным. Мы регулярно направляем наших сотрудников в BSI на курсы повышения квалификации. На мой взгляд, эта независимая организация за 100 лет своей деятельности не раз доказывала свою состоятельность в вопросах по различным направлениям. В ее состав входят коллективные и индивидуальные члены, всего более 15 тыс. фирм, которые заинтересованы в работах по стандартизации и применении стандартов. Мы постоянно находимся на связи с этой организацией, чтобы быть в курсе различных обновлений, связанных с сертификацией.

CNews : Каким вы видите будущее рынка защиты информации в России? Каких изменений стоит ожидать в ближайшие годы?

Наталья Горобец: Стандарт ISO 27001, вышедший в октябре этого года, является последней версией второй части стандарта BS 7799, которая гармонизирована с другими стандартами ISO на системы менеджмента, что в значительной мере упростит процесс интегрированного внедрения систем управления в организации. Поэтому в ближайшие год-два каких-то особых, серьезных изменений этой версии мы не предвидим. Поясню смысл интегрированного подхода: возьмем в качестве примера предприятие химического производства. Например, организация начала со стандарта 9001:2000, внедрив систему менеджмента качества, далее была внедрена система экологического менеджмента на базе 14001, затем система управления охраной труда и производственной безопасностью OHSAS и т.д. Нет смысла поддерживать три разные системы, поэтому и существует такой продукт, как интегрированная система менеджмента и услуги по сертификации по этому продукту. Одной из стадий может стать система управления информационной безопасностью, построенная в соответствии с требованиями ISO 27001:2005.

Борис Симис: Как я уже не раз говорил, российский сектор информационной безопасности продолжает увеличиваться опережающими темпами в последние несколько лет. Сектор защиты информации в России растет не только быстрее рынка ИТ, но также опережает по данному показателю большинство рынков защиты информации развитых стран. Это обусловлено постоянно растущим спросом на услуги консалтинга, аудита и послепродажных сервисов. А растущий спрос на услуги, в первую очередь связан с тем, что заказчики стали более серьезно подходить к вопросам организации защиты информации. Поэтому, на мой взгляд, в последующие годы можно ожидать увеличения спроса на наши услуги. Мы, в альянсе с организацией BSI, готовы много времени посвятить работе с предприятиями и помочь им получить сертификат на соответствие стандартам BS ISO/IEC 27001:2005 (BS 7799-2:2005).