Обзор подготовлен

версия для печати
Сергей Романовский
AMT

Сергей Романовский:

ISO 27001 выдержал испытание конкуренцией и временем

На вопросы CNews Analytics о стандарте ISO 27001, а также о гармонизации его с другими «процессными» лучшими мировыми практиками ответил Сергей Романовский, руководитель департамента информационной безопасности компании АМТ-Груп.

CNews: Считаете ли вы, что управление ИБ со временем станет частью управления ИТ-сервисами?

Сергей Романовский: Управление ИТ-сервисами, управление ИБ, как и управление непрерывностью бизнеса, – это неотъемлемые части Системы управления современной организацией. Тем не менее, это самостоятельные дисциплины, основанные на рисковой модели управления.

Требования бизнеса к ИБ оказывают воздействие на ИТ-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA — Service Level Agreement). Задачей процесса управления ИБ в данном контексте является постоянное обеспечение безопасности услуг на предусмотренном SLA уровне, а информационная безопасность является одним из ключевых показателей качества управления.

С позиций стандарта BS ISO/IEC 20000, процесс управления информационной безопасностью имеет два целеполагающих значения.

Во-первых, это - выполнение требований безопасности, закрепленных в SLA и других требований внешних и внутренних соглашений, законодательных актов и установленных правил.

И, во-вторых, обеспечение базового уровня ИБ, независимого от внешних требований.

Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например, информацию об инцидентах, связанных с ИБ.

Выходные данные содержат информацию о достигнутой реализации SLA вместе с отчетами о нештатных, с точки зрения безопасности, ситуациях, а также информацию о регулярных мероприятиях по улучшению СУИБ.

Процесс управления информационной безопасностью имеет связи с другими процессами управления, так как в других процессах выполняются действия, связанные с обеспечением ИБ. При этом процесс управления информационной безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с ИБ. Обычно соглашения об этом определяются после консультаций между владельцем процесса управления информационной безопасностью и владельцами других процессов.

CNews: Какие документы и инструменты сейчас используются в работе служб ИБ? Что такое СУИБ?

Сергей Романовский: Что касается систем управления информационной безопасностью (СУИБ), то этот термин определён Британским институтом стандартов в международном стандарте ISO 27001, в оригинале - ISMS (Information Security Management Systems).

В России есть адаптированные версии этих стандартов серии ИСО/МЭК. Переложение стандарта 27001 заложено в модели управления информационной безопасностью Центрального Банка РФ. И, насколько я знаю, сейчас ряд отраслевых ведомств ведет работы по гармонизации этих стандартов для различных вертикальных рынков экономики РФ.

Исторически, стандарты в области ИБ в России в отдельный класс не выделяли. Были положения в отраслевых нормативных актах и ГОСТах. Сейчас же, с ростом значимости информационных систем, появился отдельный набор стандартов, который, в частности, в рамках модели ISO, выделен в отдельный сегмент ISO 27000.

CNews: Как вы считаете, СУИБ на сегодняшний день - единственное средство управления процессом безопасности, или есть другие механизмы?

Сергей Романовский: На мой взгляд, СУИБ – единственное универсальное средство. Это единственный метод, который благополучно выдержал конкуренцию с другими системами управления. Существуют также национальные стандарты: американские, австралийские, канадские, немецкие, а также и российские, которые гармонично вписываются в модель СУИБ.

Британский международный стандарт ISO 27001 построен на основе модели PDCA, которая прекрасно ложится на модель управления бизнесом в целом. Это делает его «совместимым» с другими процессными стандартами, например, стандартами управления качеством – ключевыми элементами систем менеджмента на сегодняшний день.

Можно утверждать, что ISO 27001 можно рассматривать применительно к организации любого масштаба. Я даже осмелюсь выразить мнение, что он в чём-то уникален. Равных моделей и, соответственно, систем управления на сегодняшний день не существует.

CNews: Согласились бы вы с утверждением, что управление ИБ в современной компании становится частью общего менеджмента?

Сергей Романовский: Если цитировать положения стандарта ISO 27001, то именно на менеджмент возлагается ключевая функция его исполнения. Почему? Потому, что основным заказчиком ИБ является топ-менеджмент, который осознает, что защита активов компании – это его прямая обязанность. В бизнесе это еще называют «приверженностью». И если подобного понимания нет, то ни одна СУИБ в компании «жить» не будет, вернее, будет, но не долго.

До тех пор, пока владельцы бизнеса и топ-менеджмент не осознают, что свои активы необходимо защищать, о защите информации, не говоря уже о процессном подходе к этому процессу, речи быть не может. И если говорить о мотивации менеджмента, как заказчика СУИБ, то это, прежде всего, возможность управления рисками.

ISO 27001 много шире, чем просто стандарт в области ИБ. Документ достаточно полно покрывает проблематику защиты информации, но в тоже время он ориентирован на процесс обеспечения безопасности бизнеса в целом.

CNews: Некоторые компании в России одновременно с сертификацией по ISO 27001 внедряют и другие «процессные» стандарты. На ваш взгляд, это дань моде или начало тенденции?

Сергей Романовский: Нет, это не дань моде, скорее, потребность современного бизнеса, но все же в России таких компаний пока очень мало. Например, мы тесно сотрудничаем с ОГК-2, где в настоящее время в стадии реализации находится подобный проект.

Как уже говорилось, на предприятии может существовать или внедряться ряд ключевых систем управления. Например, система управления ИБ, система управления ИТ-сервисами, охраны окружающей среды, здоровья, управление непрерывностью бизнеса. Вот эти, скажем, пять систем управления компания хочет иметь в своём распоряжении. Цель - соблюдение правил вертикального рынка, желание добиться бизнес - преимуществ. Проблема заключается в том, чтобы все эти системы работали внутри организации слаженно.

Поэтому, при внедрении системы управления мы обязаны гармонизировать все входящие в нее составляющие. Этой задаче отвечает модель интегрированной системы управления, в качестве руководящего документа для проработки которой можно использовать бюллетень BSI PAS 99.

В целом, стандарты ISO 20000, ISO 27000, ISO 18000, ISO 14000 и BS 25999 успешно сосуществуют в рамках единой интегрированной модели управления. Перечисленные стандарты основаны на рисковых моделях, ключевое понятие – «рискообразующий потенциал». Каждый актив имеет карту потенциальных рисков. Это может быть выход из строя производственного элемента, его кража, риск воздействия внешней среды, террористический акт, инцидент, связанный с нарушением техники безопасности, и т.д. В сумме эти карты рисков составляют базовую основу интегрированной системы управления, формируют стратегии снижения рисков и являются основой для разработки алгоритмов принятия решений.

CNews: Можно ли построить СУИБ и забыть про нее, ожидая, что далее она будет работать сама по себе?

Сергей Романовский: Лишь какое-то очень непродолжительное время. Необходим определённый вектор усилий со стороны руководства и персонала организации. СУИБ оперирует понятием актив, который имеет свой жизненный цикл: от создания (закупки) до вывода из эксплуатации и списания. Риски живучести актива рассматриваются на всех стадиях жизненного цикла, требуют соответствующего обслуживания, корректирующих и превентивных действий. Современные угрозы диктуют правила анализа и непрерывного совершенствования активов с целью поддержания системы защиты в актуальном состоянии, а бездействие приводит к неминуемому краху.

CNews: Существуют ли, по вашему мнению, критерии успешности (помимо сертификации) выполненного внедрения?

Сергей Романовский: Эффект проявляется в двух направлениях. С одной стороны, после внедрения СУИБ происходит рост капитализации компании. С другой стороны, удовлетворяются требования заинтересованных сторон (государства, регуляторов, поставщиков, клиентов и т.д.).

Когда организация внедряет подобную систему, она получает преимущества двух видов. К первому относятся структурирование активов и повышение качества управления ими внутри компании: процессы становятся прозрачными и понятными. Это происходит потому, что процессные стандарты требуют документированных процедур, начиная от политик, заканчивая рабочими инструкциями, процедурами по настройке тех или иных процессов.

Внешний эффект тоже присутствует. Например, когда российская компания выходит на IPO, она получает внешнее конкурентное преимущество – рост капитализации компании, подтверждение того, что (даже находясь в России) компания обладает необходимым уровнем управления и качества предоставляемых сервисов.

В деловой практике западных крупнейших компаний все очень просто. Чтобы двум контрагентам из числа таких игроков заключить между собой сделку, необходимо достичь соглашения по всем видам бизнеса и предоставить подтверждение того, что услуги будут надлежащего качества, иначе контракт подписан не будет. Если какого-то сертификата нет, то для снятия соответствующих рисков партнеры должны предпринять определенные шаги. В качестве примера из российской практики можно привести взаимоотношения Deutsche Telecom и МТТ, которая в числе первых в России получила сертификат на соответствие ISO 27001.

CNews: Не могли бы рассказать о своем видении будущего в российском сегменте построения системы СУИБ?

Сергей Романовский: По оценкам компании АМТ-ГРУП, примерно четверть крупных компаний в России, так или иначе, используют рассматриваемые практики. Но не всем из них нужно выходить на этап сертификации.

Если мы говорим про ISO 27001, как о полезном практическом инструменте для развития бизнеса, то я думаю, что в скором времени он станет стандартом де-факто.

В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO 27001, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ). В России сертификация по ISO 27001 только набирает обороты. Однако компании, выполняющие консалтинг в области построения системы управления ИБ, отмечают возрастающий интерес российских компаний к стандарту ISO 27001. Естественно, что компаниям, которые задумались о получении сертификата, в первую очередь, важно понимать, какую выгоду они получат от прохождения сертификации, а также какие действия им необходимо будет выполнить для построения своей системы управления ИБ.

CNews: Спасибо.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS