Построение СУИБ ОАО «РОСНО» и обеспечение её соответствия международному стандарту ISO/IEC 27001:2005

О заказчике

ОАО «РОСНО» является одной из крупнейших универсальных страховых компаний в России. Компания оказывает услуги по страхованию частных лиц и предприятий. За годы работы объем страховых услуг, представленных компанией на рынке, вырос в несколько раз, на сегодняшний день в распоряжении ее клиентов более 100 видов страховых продуктов. Страховые полисы и договоры ОАО «РОСНО» имеют более 7 млн. человек и свыше 50 тыс. предприятий.

В настоящий момент контрольным пакетом акций ОАО «РОСНО» владеет ведущий европейский страховщик Allianz SE.

Задачи

Задача 1: обеспечение защиты персональных данных клиентов

Специфика страхового рынка состоит в том, что клиенты доверяют страховым компаниям информацию о себе, поэтому ключевыми активами таких компаний являются персональные данные клиентов, физических и юридических лиц, и информация о предоставляемых им услугах. Обеспечение надежной защиты этой информации — не только проявление заботы о клиентах, но и необходимое условие, влияющие на репутацию компании и степень доверия клиентов и партнеров.

Задача 2: приведение системы информационной безопасности компании в соответствие международным стандартам

РОСНО — компания, акционером которой является крупнейший мировой страховщик
Allianz SE. Не первый год все бизнес-процессы РОСНО строятся по международным стандартам. Поэтому прохождение сертификационного аудита на соответствие требованиям международного стандарта ISO/IEC 27001:2005 стало одной из приоритетных организационных задач РОСНО в 2006 году. Для того, чтобы соответствовать международным требованиям ведения бизнеса, необходимо было обеспечить уровень безопасности информационных систем компании принятым международным нормам.

Решение — построение СУИБ в соответствии со стандартом ISO/IEC 27001:2005 и прохождение сертификационного аудита.

По мнению специалистов ОАО «РОСНО», наиболее оптимальным решением поставленных задач было построение системы управления информационной безопасностью (СУИБ) в соответствии с международным стандартом ISO/IEC 27001:2005.

СУИБ является частью общей системы управления компании. Применение системы дает возможность добиться наиболее эффективной защиты информации, в том числе и персональных данных клиентов, так как позволяет специалистам постоянно осуществлять мониторинг, анализ и оценку рисков, связанных с использованием, хранением и передачей информации, а также оптимизировать процессы обеспечения информационной безопасности компании.

В настоящее время существует единственный международный стандарт, регламентирующий построение СУИБ - ISO/IEC 27001:2005 (Information technology -- Security techniques -- Information security management systems – Requirements). Он устанавливает требования к системе управления информационной безопасностью, определяет основные принципы построения и работы данной системы в организации, служит основой при выборе наиболее эффективных и адекватных средств и методов защиты информационных активов. Для клиентов и партнеров наличие СУИБ и подтверждение её соответствия требованиям стандарта ISO/IEC 27001:2005 означает уверенность в том, что вся информация (персональные данные, информация об оказываемых услугах и т.д.) защищена должным образом.

Построение подобной системы — задача сложная, её решение требует наличия специалистов высокой квалификации в области построения СУИБ. В компании было принято решение привлечь к выполнению работ внешнего консультанта. В результате проведенного тендера была выбрана компания «Инфосистемы Джет», которая имеет большой опыт реализации подобных проектов. В рамках проекта была создана специальная группа, в которую вошли специалисты-консультанты от компании «Инфосистемы Джет» и руководители, ключевые специалисты службы безопасности, ИТ- и бизнес-подразделений ОАО «РОСНО».

Построенная система управления информационной безопасностью затронула все критичные бизнес-процессы компании «РОСНО»: в работе одновременно были задействованы 15 подразделений, более 1,5 тыс. человек.

Специалисты компании «Инфосистемы Джет» разработали методологию внедрения СУИБ. Для этого были проанализированы:

  • состояние информационной системы компании для оценки соответствия существующих мер защиты требованиям стандарта ISO;
  • организационные мероприятия в области планирования, внедрения, аудита и модернизации мер по обеспечению информационной безопасности, программно-технические средства и механизмы защиты информации;
  • риски и угрозы информационной безопасности в отношении всех активов компании в выбранной области деятельности.

В результате анализа и оценки бизнес-процессов и структуры компании специалистами была разработана уникальная модель СУИБ ОАО «РОСНО». Система включает все организационно-управленческие процедуры, позволяющие обеспечить режим ИБ с учетом характерных особенностей компании-заказчика, в частности минимизировать и устранить традиционные для страховой компании риски (нарушение конфиденциальности, доступности информации, целостности данных).

Совместная работа специалистов ОАО «РОСНО» и компании «Инфосистемы Джет» по построению СУИБ была завершена в апреле 2007 года. В результате работы были определены «проблемные» зоны всей системы в целом, что позволило надежно защитить главные информационные активы компании: сведения о клиентах и оказываемых им услугах и оптимизировать работу по обеспечению информационной безопасности компании. Созданная система позволяет специалистам компании самостоятельно управлять ИБ, она стала частью общей системы управления компании.

Проект позволил вовлечь в обеспечение информационной безопасности руководителей компании, специалистов ИТ-, ИБ- и бизнес-подразделений, формализовать и структурировать все критичные бизнес-процессы в плане обеспечения информационной безопасности, построить «прозрачную» систему защиты ресурсов и произвести четкое разграничение прав доступа сотрудников к корпоративным ресурсам.

В 2007 году компания «РОСНО» прошла сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005 и стала первой среди российских страховых компаний, обеспечившей соответствие информационной безопасности бизнес-процессов требованиям международного стандарта. Качество построенной СУИБ было подтверждено специалистами BSI Management Systems CIS — международного органа по сертификации на соответствие международным стандартам в России и странах СНГ.

Паршаков Михаил Фёдорович, заместитель генерального директора ОАО «РОСНО»:

«Проведение работ по обеспечению безопасности сегодня не просто «хороший тон» - это насущная необходимость. Информационные ресурсы компании и клиентов являются основным активом, влияющим на степень доверия к бренду. Получение сертификата соответствия стандарту
ISO/IEC 27001:2005 подтверждает не только лидерство компании, но и нашу заботу о своих клиентах – они могут быть уверены, что «РОСНО» предоставляет не только более качественные по сравнению с конкурентами услуги, но обеспечивает максимальную степень защиты информации».

Развитие проекта

СУИБ должна непрерывно совершенствоваться, чтобы отвечать современному уровню развития бизнеса и информационных технологий, и иметь возможность эффективно противодействовать меняющимся угрозам безопасности. Это достигается за счет постоянного выполнения цикла мероприятий, включающего регулярное проведение внутренних аудитов организации бизнес-процессов, налаженных в рамках СУИБ, и своевременного внесения корректив в работу системы.

Артем Натрусов, заместитель генерального директора СК «РОСНО»:

«Сейчас в компании создана, на мой взгляд, оптимальная схема организации системы информационной безопасности. Созданная система управления ИБ на сегодняшний день кажется нам оптимальной, однако сертификация — не одноразовое мероприятие, мы должны постоянно подтверждать соответствие уровня СУИБ международному стандарту качества, только тогда мы будем удовлетворять требованиям партнеров и клиентов нашей компании».

В рамках продолжения проекта между компаниями «РОСНО» и «Инфосистемы Джет» был заключен договор о поддержке созданной СУИБ и подготовке её к инспекционному аудиту.

Скачать (pdf, 147.25 Кб)

Построение СУИБ ОАО «РОСНО» и обеспечение её соответствия международному стандарту ISO/IEC 27001:2005