18 Января 2006 11:01 | 18 Янв 2006 11:01 | |

Поделиться

Управление безопасностью ведет на мировой рынок

страницы:   предыдущая   |   1    |   2  

CNews: Каким образом компания может получить этот сертификат?

Борис Симис: Получение сертификата включает несколько этапов. Мы, как консультанты, выступаем на первой фазе и проводим обследование информационных ресурсов предприятия, находим уязвимости в их защите и несоответствия стандарту. В процессе работы мы выполняем анализ рисков, смотрим на все положения стандарта и только после этого вырабатываем оптимальное решение, каким образом перестроить информационные ресурсы организации, чтобы они соответствовали контрольным точкам стандарта. Стоит отметить, что подобные работы могут занять много времени, в зависимости от уровня развития компании. Например, если предприятие высокоразвитое и соответствует стандарту на 90%, то для проведения небольших доработок, потребуется незначительная часть времени. В других случаях может потребоваться достаточно большой объем работ на уровне всех процессов. В ходе обследования организуются советы высшего руководства компании и регулярные совещания по информационной безопасности, проводится анализ рисков с привлечением бизнес-руководства. После того как мы запустим все эти процессы, система управления информационной безопасности должна проработать минимум три месяца, и только тогда организация может подавать документы на сертификацию в аудиторскую организацию.

Наталья Горобец: На момент подачи заявки необходимо, чтобы организация внедрила систему управления ИБ либо самостоятельно, либо с помощью квалифицированного консультанта – партнера BSI. В нашей проверке мы, безусловно, хотели бы иметь дело с системами, которые уже подготовил к сертификации наш партнер, знакомый с нашей методологией.

Наталья Горобец: Сертификация - это не разовое мероприятие. Получив сертификат, вы должны его поддерживать.

Далее сертифицируемая компания подает запрос в BSI, и мы просим ее заполнить первичные документы, чтобы на основании этой информации подготовить коммерческое предложение, учитывающее все затраты на сертификацию и на ее поддержание. Сертификация - это не разовое мероприятие. Получив сертификат, вы должны его поддерживать. Он действителен в течение трех лет и подтверждается путем инспекционных проверок. В первичном основном предложении отражены все затраты клиента на трехгодичный срок и на дальнейшее поддержание сертификации. Далее, после согласования со всеми участниками процесса, назначаются даты аудита и команда аудиторов. В случае успешного прохождения компанией аудита, ведущий аудитор BSI составляет рекомендацию, и весь пакет документов направляется в наш головной офис, расположенный в Лондоне, где проводится валидация результатов и выпускается сертификат.

CNews: Расскажите о практических аспектах внедрения стандарта в реальную информационную систему. Какие возникают в связи с этим проблемы, каковы возможные пути их решения?

Наталья Горобец: Как я уже говорила, сейчас мы наблюдаем тенденцию к росту спроса на сертификацию. Проблемы, возникающие в процессе проведения работ, в основном связаны с системными моментами. Во многих случаях внедрения систем управления ИБ возникают сложности с мотивацией сотрудников, которые с трудом принимают новые подходы. Возникает проблема системной реализации, особенно в таких областях, как внутренний аудит, инструмент корректирующих и предупреждающих действий, анализ и мониторинг всей системы на предмет эффективности. Необходима не просто фиксация каких-то проблем, а анализ выявленных ошибок. На наш взгляд, система должна быть не просто устойчивой, она должна развиваться.

Сейчас начала процесс сертификации компания «Лукойл-информ», дочерняя компания «Лукойл». На сертификационный аудит компания планирует выйти в январе 2006 года.

Борис Симис: Я хотел бы заметить, что сейчас российские компании начали понимать, что сертификация становится эффективным инструментом для бизнеса, и запросы к нам, как к интеграторам, на консалтинговые услуги по подготовке к сертификации идут достаточно активно. Можно сказать, что за последние полгода на российском рынке ИБ наблюдается бум. С одной стороны, это результат просветительской деятельности. Но с другой стороны, многие развитые компании самостоятельно пришли к пониманию того, каким образом следует выстраивать систему управления предприятием. Кроме того, все больше и больше компаний понимают, что им необходимо иметь и применять международные стандарты, поскольку это формирует положительное мнение о фирме, что хорошо сказывается как на будущих слияниях, так и на имидже на рынке в целом.

CNews: Какие слабые места чаще всего выявляются в компаниях при подготовке к прохождению сертификации?

Наталья Горобец: Многие компании обладают очень хорошей технической подготовкой, но при этом недопонимают системные требования стандарта, такие как внутренний аудит, менеджмент инцидентов, анализ со стороны руководства с последующей инициацией корректирующих и предупреждающих действий. Это недопонимание приводит, как следствие, к невозможности эффективно отслеживать ситуацию. Это одно из наиболее слабых мест при прохождении сертификации.

Борис Симис: На мой взгляд, в отношении технических средств особых проблем не возникает. Слабые места проявляются на уровне процессов при анализе рисков, когда оцениваются угрозы и различные уязвимости, в дальнейшем разрабатывается комплекс контрмер, обеспечивающих высокий уровень защиты информационных ресурсов предприятия. По моему мнению, анализ рисков является необходимой фазой при разработке политики информационной безопасности, и использование современных методик позволит быстро и качественно провести этот процесс. Сегодня существуют разные методы проведения анализа рисков. В основном выбор зависит от уровня требований к режиму информационной безопасности, а также от характера воздействия угроз. Кроме того, если риски для коммерческой компании определены в формате очень крупных потерь, то это становится действительно сильным аргументом, который требует анализа всех рисков предприятия. Так как решения принимаются на уровне топ-менеджмента, то проведение такого анализа становится одним из самых сложных моментов при подготовке к сертификации. Безусловно, нам, как консультантам, необходимо уметь предложить компании-заказчику наиболее верное решение. На мой взгляд, это самый сложный, но, в тоже время, самый интересный и особенно необходимый этап работы с клиентом.

CNews: Какой компетенцией должна обладать компания, проводящая аудит на соответствие данному стандарту?

Наталья Горобец: Как уже упоминалось, данный стандарт был разработан Британским институтом Стандартов, который аккредитован в United Kindom Accreditation Services (UKAS) - одной из самых престижных схем по аккредитации, так как она предъявляет очень жесткие требования к аудиторам. Чтобы стать аудитором по BS 7799, необходимо пройти многостадийный профессиональный отбор. Во-первых, нужно иметь опыт работы в этой сфере (в области информационной безопасности) более пяти лет либо опыт работы в качестве разработчика программного обеспечения, то есть потенциальный аудитор должен хорошо понимать специфику. Далее, претендент должен стать полностью компетентным специалистом по этому стандарту, что включает в себя прохождение курса ведущего аудитора BSI и более двадцати рабочих дней стажировок под наблюдением специалистов. После этого вы получаете право проводить аудит, но только под наблюдением специалистов BSI. Как видно, компания BSI дорожит своей репутацией и строго контролирует компетентность исполнителей.

Борис Симис: Конечно, как консультанты, мы заинтересованы, чтобы орган, проводящий аудит, был наиболее компетентным. Мы регулярно направляем наших сотрудников в BSI на курсы повышения квалификации. На мой взгляд, эта независимая организация за 100 лет своей деятельности не раз доказывала свою состоятельность в вопросах по различным направлениям. В ее состав входят коллективные и индивидуальные члены, всего более 15 тыс. фирм, которые заинтересованы в работах по стандартизации и применении стандартов. Мы постоянно находимся на связи с этой организацией, чтобы быть в курсе различных обновлений, связанных с сертификацией.

CNews: Каким вы видите будущее рынка защиты информации в России? Каких изменений стоит ожидать в ближайшие годы?

Наталья Горобец: Стандарт ISO 27001, вышедший в октябре этого года, является последней версией второй части стандарта BS 7799, которая гармонизирована с другими стандартами ISO на системы менеджмента, что в значительной мере упростит процесс интегрированного внедрения систем управления в организации. Поэтому в ближайшие год-два каких-то особых, серьезных изменений этой версии мы не предвидим. Поясню смысл интегрированного подхода: возьмем в качестве примера предприятие химического производства. Например, организация начала со стандарта 9001:2000, внедрив систему менеджмента качества, далее была внедрена система экологического менеджмента на базе 14001, затем система управления охраной труда и производственной безопасностью OHSAS и т.д. Нет смысла поддерживать три разные системы, поэтому и существует такой продукт, как интегрированная система менеджмента и услуги по сертификации по этому продукту. Одной из стадий может стать система управления информационной безопасностью, построенная в соответствии с требованиями ISO 27001:2005.

Борис Симис: Как я уже не раз говорил, российский сектор информационной безопасности продолжает увеличиваться опережающими темпами в последние несколько лет. Сектор защиты информации в России растет не только быстрее рынка ИТ, но также опережает по данному показателю большинство рынков защиты информации развитых стран. Это обусловлено постоянно растущим спросом на услуги консалтинга, аудита и послепродажных сервисов. А растущий спрос на услуги, в первую очередь связан с тем, что заказчики стали более серьезно подходить к вопросам организации защиты информации. Поэтому, на мой взгляд, в последующие годы можно ожидать увеличения спроса на наши услуги. Мы, в альянсе с организацией BSI, готовы много времени посвятить работе с предприятиями и помочь им получить сертификат на соответствие стандартам BS ISO/IEC 27001:2005 BS 7799-2:2005.

CNews:Спасибо.

страницы:   предыдущая   |   1    |   2  

Поделиться

Короткая ссылка