Информационная Безопасность как бизнес преимущество

В настоящее время все больше организаций используют автоматизацию: начиная от автоматизированных производств и офисных рабочих станций, и заканчивая доступом к важной информации «on the go», то есть с использованием разнообразных портативных устройств. Но какую бы форму ни принимала информация, как бы она ни обрабатывалась, всегда существуют риски, связанные с ее потерей, кражей, несанкционированной модификацией и т.д. Для того, чтобы минимизировать эти риски бизнесу важно предусмотреть такие механизмы для защиты информации, которые бы, во-первых, обеспечивали адекватный рискам уровень безопасности, а, во-вторых, хорошо вписывались в бизнес-стратегию. То есть необходим простой и эффективный инструмент управления бизнес-рисками в информационной сфере. Таким инструментом является система управления информационной безопасностью (СУИБ).

Не секрет, что существует знаменитая спецификация на СУИБ – международный стандарт ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements", который в скором времени выйдет в новой редакции. Для организаций, чей бизнес, напрямую связан с применением информационных технологий, соответствие указанному Стандарту является насущной потребностью. Прежде всего, потому, что такое соответствие позволяет продемонстрировать клиентам, конкурентам, поставщикам, персоналу и инвесторам, что информационные риски контролируются организацией и надлежащим образом обрабатываются. Кроме того, внедрение в организации этого Стандарта позволяет осуществить конкретные шаги для совершенствования бизнес-процессов в контексте информационной безопасности (ИБ), включая законодательное соответствие нормативной базе Российской Федерации. Подтверждением соответствия Стандарту является наличие сертификата международного образца, который выдается независимым органом по сертификации по результатам аудита СУИБ.

В настоящее время одним из самых известных и уважаемых органов по сертификации в мире является Британский Институт Стандартов (British Standards Institution, BSI), являющийся исходным автором большого количества международных стандартов, включая ISO/IEC 27001, который был создан путем адаптации BS 7799. Благодаря структуре Стандарта, разработка и внедрение СУИБ представляется четко формализованной задачей. Организация может либо нанять консалтинговую компанию для внедрения СУИБ, либо сделать это своими силами.

Если организация решит самостоятельно подготовить свою СУИБ к сертификации, то лучше всего начинать с обучения Стандарту. Обучение в BSI построено по принципу линейки курсов, включающей, не зависимо от выбранного стандарта, следующие обучающие программы:

  • «Введение в стандарт» – курс рассчитан на слушателей, не имеющих почти никакого представления о выбранном стандарте и может использоваться в качестве основы не только специалистами, принимающими непосредственное участие в разработке и построении СУИБ, но и высшим руководством организаций.
  • «Внедрение стандарта» – курс предполагает базовые знания стандарта и является логическим продолжением «Введения в стандарт». Этот курс в первую очередь направлен на специалистов, в обязанности которых входят разработка и внедрение СУИБ, а также поддержание СУИБ в организации. 
  • «Внутренний аудитор» – этот курс готовит внутренних аудиторов систем управления по выбранному стандарту и является логическим продолжением курса по внедрению. От слушателей требуется знание стандарта. Курс направлен на сотрудников, выполняющих функции внутреннего аудитора в организации, например, Внутреннего аудитора СУИБ.
  • «Ведущий аудитор» – самый мощный курс. Он предназначен, прежде всего, для людей, решивших построить карьеру в качестве независимых аудиторов систем управления. Курс дает четкое понимание процесса аудита, формирует специальные навыки, учит правильно интерпретировать стандарт с точки зрения аудитора и многое другое. От слушателей требуются уверенные знания и опыт применения стандарта.

Все курсы читают высококвалифицированные преподаватели и действующие аудиторы BSI, готовые ответить на все возникшие вопросы и дать ценные рекомендации по внедрению и поддержке СУИБ в режиме живого общения. По результатам прохождения обучения по каждому из курсов выдается международно-признаваемый сертификат BSI. А курс Ведущего аудитора, кроме того, предусматривает специальный аудиторский экзамен, необходимый для тех, кто желает осуществлять деятельность профессионального аудитора или консультанта в области информационной безопасности.

После внедрения СУИБ должна пройти в организации опытную эксплуатацию в течение как минимум трех месяцев прежде чем она будет заявлена на сертификацию. Это обусловлено тем, что ключевые процессы управления должны отработать в рамках известного цикла PDCA, поскольку на аудите будут проверены именно процессы СУИБ и то, как они выполняются на самом деле. Ведь, при недостаточности у аудитора свидетельств эффективного применения системы, ему будет сложно положительно рекомендовать СУИБ к сертификации.

Сертификация СУИБ – это, прежде всего, бизнес-цель. Она позволяет организации демонстрировать клиентам и другим сторонам свою безопасность как делового партнера, что является критичным во многих областях бизнеса и особенно там, где ваша конкурентоспособность связана с вашим умением защищать вашу информацию.

Например, уже сегодня, сертификация CУИБ по международным стандартам является нормой в сфере банков и финансов, страхования, маркетинга и продаж, инноваций и интеллектуальных разработок. Опрос, проведенный BSI среди клиентов СНГ, показал, что три основных преимущества, полученные от сертификации СУИБ включают:

  • возможность выхода на новые рынки, включая Европу и Америку, за счет наличия международного сертификата и соответствия признанным требованиям;
  • удержание существующих и завоевание новых клиентов, за счет повышения уровня их доверия, а также получение заказов более высокого уровня;
  • победа в тендерах за счет ссылки на сертифицированную СУИБ, что обеспечило преимущество по отношению к конкурентам.

Процедура сертификации на соответствие ISO 27001 предполагает проведение аудита с выездом на место для изучения документов, опроса руководителей и специалистов, а также изучения информационных систем.

В BSI трудятся несколько высококвалифицированных русскоязычных аудиторов, что облегчает коммуникации и минимизирует затраты. По желанию клиента BSI может провести предварительный аудит, чтобы понять существующее состояние СУИБ и определить необходимый объем доработки, а также провести «репетицию» в преддверии сертификации. Подводя итог сказанному, следует отметить, что внедрение СУИБ в организации и ее сертификация в BSI способны вывести организацию не только на качественно новый уровень ведения бизнеса, но и обеспечить уверенность в том, что ИБ организации находится на должном уровне. Таким образом, информационная безопасность организации становится ее бизнес преимуществом.

Материал подготовил Сергей Радошкевич
Ведущий аудитор BSI по стандарту ISO 27001