Поделиться
Может ли сертификация гарантировать безопасность?
В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно "не работает". Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации - появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора - сами оказывают консалтинговые услуги и сами же проводят сертификацию.
В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого — повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.
ISO27001
Международный стандарт BS ISO/IEC 27001:2005 описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью. Методологические аспекты, связанные с построением и жизненным циклом систем управления информационной безопасностью, содержатся в международных стандартах ISO/IEC 27002 (ранее ISO/EC 17799), ISO/IEC 27003-27034, 13335. Стандарты охватывают руководства по внедрению таких систем, их анализ и контроль, управление рисками и инцидентами, непрерывность бизнеса, реализацию организационных и технических мер контроля, измерение эффективности и метрики. В части аудита данных систем рекомендуется использовать стандарты ISO/IEC 19011 и ISO/IEC Guide 62. В России, по данным реестра форума российских пользователей систем управления информационной безопасностью, на настоящий момент сертифицировано десять компаний, в странах СНГ - пять.
Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути - его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.
Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели - будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса - необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.
Николай Федотов: Безопасность - предмет темный
Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик
InfoWatch.
Не вполне ясно, чем подтверждается мнение, что сертификация "не работает". В отношении ISO-9001 об этом можно судить, например, по увеличению сбыта. А как померить улучшение информационной безопасности? Ее влияние на финансовые показатели компании весьма опосредовано. Тем более что безопасность, как известно, не приносит прибыль, а избавляет от убытков, да и то не всегда.
На наш взгляд, сертификация по 27001 приносит выгоды не столько самой сертифицированной компании, сколько ее менеджменту.
Поделиться
Короткая ссылка
