Поделиться
Может ли сертификация гарантировать безопасность?
В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.Это небольшое по сравнению с общемировыми показателями количество. Тот факт, что в списке в основном находятся ведущие игроки в своей отрасли – говорит о том, что процесс сертификации, видимо, отражает действительность зрелых организаций. Стоит также отметить, что все указанные компании были сертифицированы известными международными аудиторами.
Если проанализировать тенденцию, становится очевидным, что на сертификацию выходят в основном компании, в которых годами складывалась корпоративная культура управления информационной безопасностью, что, по сути, отражается в виде признания данных успехов и сертификации. Не стоит забывать, что стандарт отражает так называемые “лучшие практики”, при этом уровень зрелости компании по вопросам информационной безопасности обычно складывается годами путем проб и ошибок. Почему же у российских компаний для этого нет грамотных специалистов и понимания руководством современных требований бизнеса?
Постепенно выгоду от сертификации и потребность в международных стандартах осознали наиболее консервативные, но и наиболее заинтересованные в информационной безопасности предприятия – это банковские и финансовые организации. В настоящий момент крупнейший российский банк - Сбербанк России - получил сертификат по стандарту управления ИТ-сервисами ISO 20000, который включает в себя также процесс управления информационной безопасностью в соответствии с ISO/IEC 27001:2005. Недавно "АзияУниверсалБанк", в совет директоров которого входят Майкл Меред (бывший представитель МВФ в Киргизии), Боб Доул и Беннетт Джонстон (экс-сенаторы США), стал первым банком в СНГ, получившим сертификат именно по информационной безопасности.
Процесс сертификации по международным стандартам систематически проверяется со стороны соответствующих регулирующих организаций. По неофициальным данным, недавно Россия прошла очередную проверку со стороны надзирающего органа по аккредитации - UKAS. И, видимо, учитывая усилия, которые демонстрируют российские компании на пути к международным стандартам, недавно в России проходило заседание подкомитета ISO/IEC JTC1/SC27 ("Безопасность информационных технологий"), где обсуждались, в частности, вопросы развития стандартов ISO по информационной безопасности, и в том числе, стандарта ISO/IEC 27001:2005.
В завершение хотелось бы сказать несколько слов о связи между сертификацией и бизнесом. Начнем с того, что все работы по созданию СУИБ начинаются только после документирования в первую очередь бизнес-целей и уже после того - целей СУИБ. Достижение этих целей является смыслом процесса анализа со стороны руководства. Получение новых контрактов, выход на новые рынки, привлечение инвестиций, повышение привлекательности при слиянии и продаже бизнеса, повышение рейтинга компании международными рейтинговыми агентствами – это только малая часть того, почему руководители компаний задумываются о создании СУИБ по международным стандартам и ее сертификации. Нужно отметить, что те компании на российском рынке, которые уже сертифицировались, не только имеют четкие цели в этой части, но многие их уже достигли в той или иной мере.
Михаил Пышкин / CNews
Поделиться
Короткая ссылка
