Выпуск примерно 70% мирового валового продукта зависит от функционирования информационной среды предприятий, поэтому назрела необходимость во внедрении стандартных требований к ИТ.
Сертификация на соответствие требованиям международного стандарта менеджмента информационной защиты ISO/IEC 17799, разработанного на базе британского BS 7799, дает организациям несколько преимуществ. О них рассказал на международной конференции «Безопасность и доверие при использовании инфокоммуникационных сетей и систем» Михаил Емельянников, заместитель генерального директора по безопасности «Связьинтека».
Илья Медведовский: «В нашу компанию обращаются все больше организаций, заинтересованных в проведении предсертификационных работ» |
По его словам, после обязательного аудита информационная система предприятия становится «прозрачнее». Выявляются ее основные уязвимости, и вырабатываются рекомендации по повышению общего уровня защиты. Сертификация позволяет упорядочить внедрение компонентов ИБ-системы и гармонизировать этот процесс с основными направлениями бизнеса. Кроме того, соответствие требованиям ISO/IEC 17799 способствует росту доверия к компании ее клиентов, партнеров и инвесторов. Во многих странах такая сертификация является ключевым условием для организаций, желающих получать заказы от госструктур и участвовать в международных проектах.
Преимущества стандартизации оценили крупные зарубежные компании. Как сообщил исполнительный директор компании Digital Security Илья Медведовский, в прошлом году выдано более 1770 сертификатов на системы ИБ. Лидером в данной области (1080 организаций) стала Япония. При этом, по сведениям открытых источников, к концу 2002 года процедуру, позволяющую подтвердить соответствие систем защиты требованиям ISO/IEC 17799, прошли лишь 150 фирм из 25 государств.
Россия и другие страны СНГ серьезно отстают от западного сообщества. По данным Британского института стандартов (BSI), разработавшего в 90-е годы спецификации BS 7799, лишь три российские компании («КРОК», «Лукойл», СМА Small Systems), одна молдавская и одна армянская имеют сертификаты соответствия ISO 27001.
Активная сертификация систем безопасности на предприятиях России и СНГ началась лишь в последний год, и все сертификаты выданы несколько месяцев назад. Специалисты считают это началом серьезного процесса в экономике. Илья Медведовский заявил, что в его компанию, которая имеет партнерское соглашение с BSI на проведение «предсертификационных» работ по стандарту BS 7799/ISO 17799, обращаются все больше заинтересованных организаций. Учитывая довольно высокую стоимость таких услуг, они хотят знать, какие преимущества дает внедрение международных спецификаций. Подробная консультация стимулирует их руководителей к практическим шагам.
Предприятия финансовой сферы, для которых обеспечение безопасности является одним из ключевых условий стабильности бизнеса, первыми приступили к активным действиям. Знаковыми событиями в данной области стали принятие ISO 17799 в Республике Беларусь (ноябрь 2004 года) как национального государственного стандарта, а в Молдове (2003 год) — как обязательного стандарта кредитно-финансовых учреждений. В России повсеместное принятие ГОСТ 17799 ожидается в нынешнем году, но финансовые организации присматриваются к зарубежному аналогу этого стандарта уже более двух лет.
Так, Банк России предложил ввести стандарт управления информационной безопасностью в банковской сфере РФ. А в начале года появилась новая версия стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Она разработана на базе международных спецификаций ISO/IEC 17799, ISO/IEC 27001 и CobiT и адаптирована к местной специфике.
Этот свод правил устанавливает основные принципы, на которых должно базироваться построение структуры управления информационной защитой кредитно-финансовых предприятий. Для поддержки и популяризации нового стандарта его создатели (фирмы «Андэк», «Линс-М», НПФ «Кристалл», ГНИИИ ПТЗИ ФСТЭК России, аудиторские компании «КПМГ» и «Эрнст энд Янг») организовали сообщество ABISS (Association for Banking Information Security Standards). По мнению специалистов, применение данных спецификаций позволит повысить уровень защищенности банковских операций. Не исключено, что стандарт может быть переведен из разряда «рекомендательных» в группу «обязательных для исполнения».