11 декабря состоялся первый в Узбекистане семинар по новой версии стандарта ISO 9001:2015. Семинар организован ведущими отечественными консалтинговыми компаниями, органами по сертификации, агентством "Узстандарт", коллегами из США и Германии. В работе семинара принял участие сотрудник ITTS.
В настоящее время фактически рассматривается драфт стандарта ISO 9001:2014 DIS, который будет утвержден  в 2015 году. Ключевым нововведением стандарта является риск-менеджмент или риск-ориентированное мышление, которое стало который стало идейной основой новой версии стандарта. Другим важным требованием стандарта стало создание внутрефирменной базы знаний, где будет накапливаться информация о типовых способах решения проблем и данные, необходимые для принятия решений. Также на предприятии должны быть налажены эффективные коммуникации для обеспечения эффективного и оперативного взаимодействия, как между сотрудниками, так и с клиентами, чтобы исключить, например, накладки связанные с задержками в прохождении электронной почты. Опытом по внутренней коммуникации поделился  сотрудник General Motors Powertrain (GMPT), а об основах создания системы стратегического менеджмента рассказал коммерческий директор UzCarlsberg.
По окончании семинара его участникам были вручены памятные сертификаты.

Так как основной профиль деятельности нашей компании это оказание услуг, то постоянное обучение и рост квалификации наших специалистов является обязательным условием повышения качества работ, степени удовлетворенности заказчика.
4 декабря получен сертификат, подтверждающий квалификацию сотрудника ITTS, как менеджера системы управления качества по стандарту ISO 9001. Вручил сертификат директор CERT Academy Марат Хабибулин.
Таким образом, при проведении работ по экспертизе уровня информационной безопасности предприятий, разработке нормативных документов по ИБ, теперь возможно будет применять элементы системы управления качеством и процессного подхода.

С 24 по 28 ноября сотрудник ITTS проходил обучение на курсе «Менеджер системы управления качеством по ISO 9001», организованном CERT Academy. Cтоит отметить, что действующий международный стандарт ISO 9001:2008 (и его отечественная версия O'z DSt ISO 9001:2009) является основой построения множества систем управления   промышленной безопасности и охраны труда OHSAS 18000, безопасности пищевой продукции ISO 22000 HACCP, экологического менеджмента ISO 14000, в том числе и системы управления информационной безопасностью на основе требования стандарта ISO 27001.

В рамках курса рассмотрены в том числе вопросы разработки нормативных документов для организации системы менеджмента качества, этики и психологии проведения аудита. Кроме собственно изучения требований стандарта были проведены практические занятия, рассмотрены типовые ошибки реализации СМК.  Также в ходе обучения состоялось знакомство с проектом новой версии стандарта ISO 9001:2015.

Cотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS с анализом нормативной базы по информационной безопасности в Узбекистане. Впервые опубликована в ноябре 2014, актуализирована в июне 2022.

Краткий анализ нормативной базы по информационной безопасности в Узбекистане.

Любой CISO (англ. Chief Information Security Officer) — руководитель отдела информационной безопасности, приступая к работе по организации работы подразделения, разработке внутренней нормативной базы по ИБ, озадачивается вопросом – какие имеющиеся документы принимать за основу. В этой статье попробуем кратко проанализировать существующие документы по этой теме.
Для упорядочения типов нормативов предлагаем использовать условную иерархию. На самом высоком уровне, в законодательном плане, проблемы по ИБ упомянуты в Уголовном кодексе, в главе XX(1), ознакомиться с документом будет не лишним, но в практической работе для CISO он вряд ли применим.

Практически, на высшем уровне нормативной базы находятся законы. Из них можно почерпнуть общий взгляд на проблему, некоторые общие определения. Вот, пожалуй, основные из них, в которых упоминается информационная безопасность:
• Закон «Об информатизации». В статьях 19 и 20 определяются цели защиты информационных систем, а также обязанности физических и юридических лиц по их защите таких систем, содержащих, в том числе, и конфиденциальную информацию.
• Закон «О принципах и гарантиях свободы информации». Тут стоит обратить особое внимание на статьи с 11 по 15, в которых достаточно подробно описано какая информация и как (в правовом смысле) защищается.
• Закон «О телекоммуникациях» в большей степени касается операторов и провайдеров, но многие тезисы могут быть полезными.
• Закон «О персональных данных», вступает в силу 1 октября 2019 г.
• Закон «О кибербезопасности», дата вступления в силу 17 июля 2022 г.
• Закон «О защите информации в автоматизированной банковской системе». Несмотря на такое прикладное название, многие тезисы могут быть использованы и адаптированы при разработке нормативов. Финансовая отрасль вообще почти всегда идет в авангарде ИБ, в данном случае это подтверждается и принятием такого закона, в котором вопросы безопасности АБС освещены отдельно.

Далее по статусу идут государственные стандарты. Основными стандартами в области информационной безопасности являются стандарты серии O`z DSt ISO/IEC 27000. Большинство стандартов этой серии принято и введено в действие в качестве государственного стандарта Узбекистана и имеют степень соответствия IDT (т.е. идентичный соответствующему международному стандарту) или MOD (т.е. модифицированный, как правило, слегка скорректированный в плане оформления или нумерации разделов). В качестве основных стандартов серии можно отметить:
• O`z DSt ISO/IEC 27000:2022 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь»
• O`z DSt ISO/IEC 27001:2020 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования». Этот стандарт описывает требования к системе управления информационной безопасностью и именно по этим требованиям происходит сертификация систем.
• O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью». Этот стандарт можно назвать настольной книгой специалиста по информационной безопасности, именно в нем изложены не только основные требования (этим он связан с O`z DSt ISO/IEC 27001:2016), но и указано, как именно нужно реализовывать каждое конкретное требование. Именно с учетом большинства требований этого стандарта и разрабатываются нормативы по ИБ, создаются системы обеспечения безопасности.
• O`z DSt ISO/IEC 27005:2013 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности». Для предприятий, которые давно и подробно занимаются проблемами ИБ, этот стандарт будет подспорьем в формировании системы управления рисками, т.е. в переходе на следующий, более высокий уровень зрелости. Для остальных же данный стандарт поможет в выборе приоритетных защитных механизмов, ведь всегда нужно решить, что нужно сделать в первую очередь, а что можно и позже. Подход с использованием принципов риск-менеджмента поможет в этом.

Следующий уровень условной иерархии документов – руководящие документы которые описывают какую-то определённую сферу в области ИТ и ИБ. Например:
RH 45-129:2008 «Страхование информационных рисков. Инструкция по проведению экспертизы (аудита) безопасности информационных систем.»
RH 45-199:2008 «Страхование информационных рисков. Методика оценки ущерба и определение суммы страхового возмещения.»

Самым конкретными и подробными являются, как правило, требования по информационной безопасности, предъявляемые регуляторами.

В конце 2017 года был утверждён и в начале 2018 года появился в публичном доступе достаточно объемный документ, изданный Центром информационной и общественной безопасности (сейчас ГУП "Центр кибербезопасности") - «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах». Документ призван свести в единый документ требования множества стандартов, в том числе серии ISO 27000, выбрав самые важные из них и снабдив их более конкретными требованиями и разъяснениями. Т.е. у администратора ИБ в госоргане появился единый документ, отправная точка всех работ по обеспечению информационной безопасности.

Другими яркими примерами этого класса документов являются положения Центрального банка Республики Узбекистан. Например:
1. Положение о защите информации в автоматизированных системах коммерческих банков Республики Узбекистан (рег. в МинЮсте №3224 10.03.2020) на русском языке - перевод ITTS. Ссылка на документ на Lex.uz.
2. Положение об обеспечении информационной безопасности в платежных системах операторов платежных систем и поставщиков платежных услуг (рег. в МинЮсте № 3268 30.06.2020) на русском языке - перевод ITTS. Ссылка на документ на Lex.uz.

Выше приведена лишь небольшая часть существующих нормативов по информационной безопасности. Удобными инструментами поиска их являются:
1. LexUz - Информационно-поисковая система Национальной базы данных законодательства Республики Узбекистан.
2. Электронный фонд нормативных документов сферы информационных технологий и коммуникаций.
3. Сайты отраслевых регуляторов.

Обновление от 9.11.2020

1. Пунктом 8.в указа президента Республики Узбекистан «Об утверждении Стратегии «Цифровой Узбекистан-2030» и мерах по ее эффективной реализации» (№ УП-6079 5 октября 2020 г.) предусмотрено:
«Внедрение с 1 января 2021 года системы компенсации до 50 процентов расходов граждан на получение международных IT-сертификатов по системному администрированию, управлению базами данных и облачными платформами, обеспечению информационной безопасности и другим востребованным направлениям».  На кого именно распространяется эта льгота и механизмы её реализации нам пока не ясно.
В этом же документе, в пункте 15, важное указание для госорганов:
«Возложить с 1 ноября 2020 года на одного из действующих заместителей руководителей всех министерств и ведомств, органов исполнительной власти на местах полномочия заместителя руководителя по цифровизации (Chief Digital Officer), определив их основными задачами:
«... обеспечение информационной безопасности ведомственной цифровой инфраструктуры, а также защиты электронных данных и документов.»
Проще говоря, во всех госорганах нужно определить одного из заместителей руководителя задачи по ИБ. Если заместителей нет, то вопросами ИБ должен заниматься сам руководитель. Выполнить этот пункт указа, скорее всего, можно или оформлением специального приказа или внести эти пункты в должностные инструкции.
2. Постановление Кабинета Министров Республики Узбекистан «О мерах по дальнейшему развитию системы электронного правительства, а также о введении порядка электронной отчетности государственных органов и организаций перед населением о своей деятельности» № 444 от 16 июля 2020 г.
В документе предполагается до конца 2020 года создание единого реестра информационного систем и ресурсов госорганов. В пункте 2 этого документа уточняется, что под госорганами в т.ч. понимаются организации с долей государства в уставном капитале от 50% и выше. При этом госорганам запрещается разрабатывать и использовать системы, дублирующие уже включенные в единый реестр. (Видимо, чтобы госорганы не тратили средства на разработку однотипных систем, а брали наработки коллег. Прим. ITTS)
Девятым пунктом документа поручается проведение экспертизы ИБ госорганов ГУП «Центр кибербезопасности». (При этом никак не ограничивается проведение подобных экспертиз ИБ другими организациями. Прим. ITTS)

9 октября компания Symantec официально озвучила решение совета директоров компании о её разделе на две независимые компании. Одна из них сфокусируется на вопросах обеспечения информационной безопасности, вторая – на вопросах управления информацией (information management – «IM»). Создание двух независимых компаний создаст условия для ускорения роста за счет ведения собственной стратегии и организационной структуры. Таким образом, разделение компании позволит обоим, вновь созданным, компаниям:
• Сфокусироваться на собственном росту, вложениях в исследования и разработки (R&D).
• Снизит сложность управления.
• Повысит гибкость изменения стратегии развития, установления партнерских связей и возможность проведения независимой политики слияний и поглощений (M&A).
• Задать четкую политику капиталовложений.

В компанию, сфокусированную на обеспечении информационной безопасности, перейдут направления по защите персональной и корпоративной инфраструктур, управлению конечными точками, криптографической защите, защите мобильных устройств, сертификатам SSL, аутентификации пользователей, защите почты, web и дата-центров, систем предотвращения утечек конфиденциальных данных, сервисов управления информационной безопасностью.
В компанию, сфокусированную на управлении информацией, перейдут направления резервного копирования и восстановления, архивирования, управления хранилищами данных и решения по повышению доступности.
На своем посту остается президент и исполнительный директор Symantec – Майкл Браун (Michael A. Brown), т.е. он будет руководить компанией, сфокусированной на обеспечении ИБ. Генеральным менеджером новой компании, сфокусированной на управлении информацией, станет Джон Гэннон (John Gannon).
Предварительный срок окончательного разделения компаний – декабрь 2015 года.
Материалы по теме:
• Официальный пресс-релиз компании Symantec о планах по разделению компании.
• Презентация о разделении компании и основах стратегии.

IT-TEAM SERVICE является официальным партнером Symantec c 2011 года, является на сегодняшний день единственным в Узбекистане партнером уровня Silver и единственной компанией с техническими специализациями по решениям Symantec.

23 сентября 2014 года в рамках недели ИКТ прошел ИКТ-саммит. Сотрудники ITTS приняли участие в пленарном заседании и в работе секции "ИКТ в бизнесе"
Интересный тезис был изложен в докладе Максима Синюкова из Veeam, рассказавшего, в том числе, и про RPO и RTO - "За резервное копирование нужно платить, иначе за его отсутствие придётся расплачиваться."
Сотрудник Infowatch Евгений Симонов рассказал о проявляющейся в России тенденции передаче обеспечения информационной безопасности на аутсорсинг, привёл реальные примеры с утечкой персональных данных из поликлиник и страховых компаний, способах использования этих данных злоумышленниками.
О применении ITSM на примере библиотеки лучших практик – ITIL,рассказала Наргиза Сулейманова.
С докладами также выступили представители компаний НАК "Узбекистон хаво йуллари", АК "Автосаноат", АК «Тошшахартрансхизмат», АО «Узбекуголь» и другие.
Также на полях саммита состоялась встреча специалиста ITTS с журналистом издания ICTNews, обсуждены конкретные темы по информационной безопасности для публикации в журнале.