• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Сертификация систем предприятия по международным стандартам информационной безопасности - реальная польза или маркетинговый ход?

Created: 20 February 2021

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №2 за февраль 2021 г. под названием «Как проверить, нужна ли вам кибербезопасность и сертификация по ISO 27001»
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Общая информация о сертификации по стандартам менеджмента.
Сертификация - подтверждение соответствия независимой стороной. Упрощая можно «развернуть» это определение так - подтверждение выполнения чётко определённых требований (чаще всего описанных стандартом), которое проводится сторонней, независимой организацией - аудиторской компанией или органом по сертификации. И сам процесс прохождения сертификации в самом общем виде выглядит так   на предприятие приходит группа аудиторов, они изучают производственные процессы, документы, проводят интервью с сотрудниками. Только если все пункты стандарта выполняются - выдаётся сертификат соответствия. Если существуют незначительные отклонения от требований стандарта, то сертификат тоже могут выдать, но при условии исправления выявленных отклонений. Если существуют грубые нарушения требований стандарта - то сертификат не выдаётся вовсе.
Сертификация может быть обязательной или добровольной. Наиболее очевидные примеры обязательной сертификации это всё что связано с медициной и здоровьем человека. Многие виды пищевой продукции также проходят разного рода проверки прежде чем попасть на стол к потребителю. Т.е. производитель товаров и услуг, чтобы оставаться в правовом поле, просто обязан проходить сертификацию и проверки.
А для чего может понадобится проходить добровольную сертификацию? Пожалуй, главный ответ - получение конкурентного преимущества. Например, некоторые производители проходят сертификацию «Halol». Это, по замыслу собственников бизнеса, повысит лояльность определённых групп потребителей. Но, качественным должны быть не только продукты питания техника, но и услуги, и сервис.

Для чего может понадобиться показывать высокий уровень информационной безопасности на предприятии и доказывать его прохождением сертификации? Каждый, кто хоть немного следит за новостной повесткой, понял, что оборотной стороной тотальной цифровизации стали проблемы с утечками данных, взломы. Недобросовестные сотрудники могут продавать данные из базы предприятия (банка, оператора связи, авиакомпании и др.), этим пользуются злоумышленники, конкуренты. Данные не только могут быть похищены, но и стать недоступны, если оборудование выйдет из строя. Например, в самый ответственный момент клиент не сможет рассчитаться за ужин в ресторане по карте или оплатить проезд в транспорте. Всё это   примеры проблем с информационной безопасностью, а конкретно с таким её важным свойством как доступность (т.е. способность быть готовым к использованию).

Каким предприятиям стоит задуматься о внедрении международных стандартов по информационной безопасности на своём предприятии? Чем больше ваш бизнес зависит от информационных технологий, тем он сильнее подвержен киберугрозам, соответственно тем актуальнее вопрос стандартизации. Если присмотреться к коммерческим банкам или платёжным системам, то практически все они оказывают услуги по почти одинаковым тарифам. На таком конкурентном рынке определяющими для потребителей становятся уже не столько тарифы, сколько качество услуг. А для такой деликатной и чувствительной сферы как финансы решающее значение имеет информационная безопасность, уверенность клиентов банка, что данные об их счетах не станут известны посторонним. Поэтому сейчас не только крупные ИТ-компании, а уже и банки (тоже во многом ставшие полноценными ИТ-гигантами) подают как конкурентное преимущество наличие сертификата о соответствии их систем управлении ведущим мировым стандартам по кибербезопасности.
Пожалуй, самый известный международный стандарт по системам менеджмента информационной безопасности это ISO/IEC 27001:2013. Основной его плюс - он универсален и его требования можно реализовать на любом предприятии. Кроме того он хорошо гармонизирован с другими стандартами. В том числе с самым известным из них   ISO 9001. Т.е. если предприятию необходимо одновременно проходить сертификацию по другим стандартам, то, скорее всего, не придётся предпринимать особых дополнительных усилий.
Но, в то же время, требования стандарта ISO/IEC 27001 довольно строгие и охватывают практически все сферы работы предприятия, не только в технической части. Например, подробно описаны требования к персоналу на всём протяжении от трудоустройства до увольнения (именно штатные сотрудники и подрядчики, а не неизвестные хакеры, являются основными источниками большинства инцидентов ИБ). А ещё - управление поставщиками, соответствие законодательству и др. Всего приложение к стандарту содержит 114 требований, разделённых на 14 категорий. Чтобы получить сертификат, нужно выполнить все требования. Это сложно. Поэтому, на момент подготовки статьи, в Узбекистане пока нет ни одного предприятия, которое успешно прошло сертификацию по стандарту ISO/IEC 27001:2013. Но несколько отечественных предприятий уверенно взяли курс на получение такого сертификата. Практика показывает, что даже при всесторонней поддержке со стороны руководства уходит не менее года на подготовку к сертификации.

Стандарт полезен и для высшего руководства и для начальников служб ИТ и ИБ даже тех предприятий, которые пока не планируют сертификацию. Требования стандарта   прекрасная возможность оценить состояние ИБ на предприятии. Можно бегло просмотреть требования и отметить какие из них уже реализованы на предприятии (т.е. выполнить GAP-анализ), проставить «галочки» - выполняется требование или нет. Если по итогам такого анализа выяснится, что реализовано хотя бы 50% требований, то это очень достойный показатель для предприятия в нашей стране. К сожалению, в Узбекистане уровень развития именно информационной безопасности предприятий пока остаётся на низком уровне. Большинство руководителей этого даже не осознают, т.к. не проводили никаких аудитов и исследований на этот счёт. Бывает, что о проблемах с информационной безопасностью на предприятии узнают только после громкого инцидента.
Совет: обеспечение информационной безопасности весьма затратный процесс, а обеспечение его на уровне, необходимом для прохождения сертификации и вовсе может быть неподъемной ношей для предприятия. Рекомендуем учитывать две простых предпосылки:
- большинство злоумышленников (хакеров, киберпреступников) ищут самую уязвимую жертву. Им зачастую не нужно взламывать какой-то конкретный банк, им подойдёт любой, и чем хуже там защита - тем им лучше, проще взломать и легче «замести следы». Поэтому, чтобы снизить шансы кибератаки нужно хотя бы не быть среди «отстающих». Как иногда говорят, если вы с приятелем убегаете от медведя, то не нужно бежать быстрее медведя, нужно бежать быстрее приятеля. Зачем хакеру взламывать сложные механизмы защиты вашего предприятия, когда у других все «двери открыты?»;
- принцип Парето работает и в области ИБ - 20% усилий даёт 80% результата. Руководству достаточно начать хоть немного интересоваться темой ИБ на предприятии, чтобы существенно повысить её уровень. Например, если сложно выполнить все требования стандарта ISO/IEC 27001, то можно использовать рекомендации по основным вопросам ИБ, которые называются «20 контролей CIS». И даже среди этих 20 мер выделено 6 самых основных, например контроль прав администраторов, инвентаризация техники и программного обеспечения, выявление уязвимостей.

А что даёт стремление к соответствию стандарту ISO/IEC 27001 самому предприятию?
Во-первых. Уровень информационной безопасности действительно поднимается на очень высокий уровень. Большинство типовых проблем - вирусные эпидемии, потери данных, простои, проблемы с поставщиками и сотрудниками, будут превентивно решаться и не станут неприятной неожиданностью.
Во-вторых. Руководство получает объективную информацию о состоянии инфраструктуры, результаты анализа рисков. «Выстраиваются» рабочие процессы   т.е. не нужно постоянно решать всё в «ручном режиме». Снижается вероятность, что уход (отпуск/болезнь) одного ключевого специалиста приведёт к остановке важных систем или хотя бы руководитель будет знать об этом уязвимом месте.
В-третьих. Следуя рекомендациям стандарта, есть уверенность, что ни один из важных моментов не будет упущен, а для реализации требований не придётся «изобретать велосипед», т.к. по каждому пункту стандарта есть подробные комментарии с обзором лучшей мировой практики (рекомендациям и обзору практики посвящен целый отдельный стандарт ISO/IEC 27002:2013).
В-четвёртых. Если со временем предприятие решит всё-таки сертифицировать свою систему управления, то практически всё будет готово, у сотрудников будет понимание принципов, уже разработана документация и т.д.

Хорошая новость - все основные стандарты по информационной безопасности приняты в качестве государственных в Узбекистане и переведены на узбекский и русский языки:
• Oʻz DSt ISO/IEC 27001:2016 - стандарт содержит требования по информационной безопасности и используется при прохождения сертификации.
• Oʻz DSt ISO/IEC 27002:2016 - Практические правила управления информационной безопасностью. Это подробное справочное пособие для специалистов по ИБ с обзором мировой практики, примерами реализации мер. В этом документе подробно разъясняется каждый из пунктов «старшего» стандарта Oʻz DSt ISO/IEC 27001:2016

Об области действия стандарта. Особенность внедрения стандартов управления такова, что можно внедрять его не целиком на всём предприятии, а определить область действия и внедрить и даже пройти сертификацию на такой ограниченной области. Например, это может быть один из филиалов или какой-то конкретный вид деятельности, услуги. Поэтому, теперь, когда какое-то предприятие заявляет о получении сертификата по международному стандарту (ISO 9001, ISO 27001) можно убедиться, какова область его действия - она всегда явно указана в сертификате. Это, кстати, ещё один известный маркетинговый приём. Область действия стандарта и сертификата может быть очень маленькая и вообще не связана с основной деятельностью предприятия, но потребителю будет казаться, что всё предприятие соответствует передовым мировым стандартам.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости