|
|
|
Сергей Романовский: Восстановление и развитие национального института стандартов видится одной из стратегических задачНа вопросы СNews отвечает Сергей Романовский, руководитель направления информационной безопасности департамента корпоративных проектов «АМТ-Груп». CNews: Как известно, в мировой практике мало какой продукт или система ИБ не соответствует какому-либо профильному стандарту, соглашению и т.д. Насколько, на ваш взгляд, в стандартизации заинтересованы отечественные разработчики продуктов и систем ИБ? Сергей Романовский: Заинтересованы. Подтверждение тому — инициатива национального банковского сообщества. Деятельность участников вертикальных рынков регулируется рыночными отношениями, национальными законодательными и нормативными актами, она направлена на рост капитализации и удовлетворение требований заинтересованных сторон, в число которых, в том числе, входит, государство. А деятельность государства, в свою очередь, направлена на гармоничное развитие национальной экономики в целом. И восстановление и развитие национального института стандартов видится мне одной из стратегических задач. CNews: Что все-таки первично в мировых нормативных актах: охрана государственных интересов или защита прав потребителей? И как в этом плане обстоит дело в России? Сергей Романовский: Я бы не стал противопоставлять эти вещи, поскольку задача любого государства — прежде всего, защита интересов граждан. Это основной государственный интерес. Осознание данной аксиомы в нашей стране, думаю, — вопрос ближайшего будущего. CNews: На ваш взгляд, в области развития стандартов Россия идет особым путем или все же имеют место интеграционные процессы? В каких случаях должны иметь место свои, отечественные нормативные акты, а в каких можно использовать международные? Сергей Романовский: Я всегда привожу в пример Японию. Развития рыночных отношений в этой стране отличается удивительной гибкостью. Решение о принятии стандарта BS 7799 отвечало интересам бизнеса, и, вместе с тем, государство не поступилось принципами национальной политики в сфере стандартизации. У России, несомненно, есть свой путь развития стандартов, продиктованный многолетним опытом, сложившейся деловой культурой. Сейчас активно протекает процесс консолидации накопленного национального и передового опыта международного сообщества, идут поиски продуктивного пути развития стандартизации. CNews: Некоторые стандарты, например, тот же ISO27001, предполагают проведение аудита системы управления ИБ. Насколько, по вашему мнению, у нас в стране развит институт подобного аудита, а также подготовки к нему? Сергей Романовский: Насколько мне известно, подобные услуги традиционно оказывают аудиторские фирмы, входящие в состав «большой четвёрки». Существуют также сертификационные аудиты, которые проводят компании — разработчики стандартов, например BSI MS. Главный вопрос аудита — это критерии, или на соответствие каким стандартам проверяется компания-заказчик? В большинстве случаев аудиты третьей стороной (внешние аудиты) проводятся на соответствие внутрикорпоративным политикам, национальным и международным стандартам по ИБ, также используются общепринятые методики сравнения с зафиксированным передовым опытом зарубежных компаний. Сертификационные аудиты, как правило, направлены на подтверждение качества внедрения тех или иных стандартов. В настоящее время, за исключением банковского сообщества, на российском рынке превалируют иностранные методики. Это опять же связано с отсутствием национального института стандартов, отсутствием критериев аудита и нормативов по обеспечению ИБ в вертикальных рынках отечественной экономики. CNews: Считаете ли вы оправданным разработку отраслевых стандартов в ущерб универсальным? Чего в этом плане можно ожидать в России в ближайшие годы? Сергей Романовский: Сложный вопрос. Если речь идёт о национальной политике в области стандартизации, то, несомненно, так называемые универсальные или высокоуровневые стандарты должны служить отправной точкой для создания отраслевых или технологических стандартов. В качестве примера можно рассмотреть интегрированную систему менеджмента, разработанную BSI и нашедшую отражение в публикации PAS 99. Речь идёт о гармонизации стандартов, используемых в рамках одной организации. Основным элементом данной модели является стандарт качества ISO 9001, на принципах которого построены, в частности, СУИБ (ISO 27001) и управление ИТ сервисами (ISO 20000). Мне сложно давать прогноз на будущее, но в целом ситуация может развиваться в двух направлениях — принятие стандартов ISO в качестве национальных или, что более предпочтительно, развитие национального института стандартов и гармонизация национальных и международных стандартов. CNews: Какие существуют способы модернизации стандартов в России? Есть ли возможность со стороны производителей и потребителей влиять на этот процесс? Сергей Романовский: Производители и потребители — основные заинтересованные стороны в развитии стандартизации. В настоящий момент именно они являются основными заказчиками разработки стандартов. Разработчики стандартов — это инициативные группы, действующие в интересах и на деньги заказчика, разрозненные, с точки зрения стандартизации в масштабах государства. Развитие национального института стандартов позволит систематизировать эту деятельность. CNews: Насколько соответствует, на ваш взгляд, существующая сейчас в России практика в области защиты интеллектуальных прав условиям глобализации рынка информационной безопасности? Сергей Романовский: В свой практике я пока ни разу не встречал компании — потребителя услуг, которая с точки зрения ИБ на должном уровне поддерживала процесс защиты интеллектуальных прав, хотя декларируют эту позицию многие. Речь, в частности, идёт о позиции стандарта BS ISO/IEC 27001:2005 - Annex A — A.15.1.2 — Intellectual property rights (IPR). С позиции разработчика, думаю, наибольшей компетенцией в этой области обладает российское представительство компании Microsoft. Cnews: Спасибо. |